ewebeditor编辑器提权

作者:老猫 分类: 信息安全 发布于:2018-2-20 1:09 ė678次浏览 60条评论
今天给徒弟们上课,教了一个

 ewebeditor 提权

 首先我说一下ewebeditor是什么,ewebeditor是提供给后台去使用的

 是提供后台的我们就去找一下后台

(由于上传不来图片,,,我tm找此站管理问去了,后面不懂的找我问吧,我就说步骤就行了)


找后台,首先网站为:www.xxxxx.com              那么他后台是www.xxxxx.com/admin是他的后台,那么我们加上ewedbeditor的后台目录

目录为:ewebeditor/Admin_Login.asp

加上后就是:www.xxxxx.com/admin/ewebeditor/Admin_Login.asp

然后我们按回车键





 直接上后台地址,这网站查到了账号密码后,直接登录

我看了,进去后这个网站有样式管理/获取解释函数/上传文件管理/用户名及密码修改/退出。。这几个东西

打开样式管理,点击样式预览,预览的这个就是eredbeditor的一个界面,就是这样的一个编辑框

然后编辑框里面有上传的地方,我们打开,我们上传的是asp格式,没有,然后退出去,点击样式的拷贝

没考呗的根本改不起,拷贝后直接更改,ojbk,可以上传asp格式了


我上传的时候大马太大上不去,我直接上小马了,上完小马点击查看源代码,打开进去,直接上传大马,ojbk

登录大马密码

获取权限

然后告诉管理员漏洞


教程结束


                         本教程有戒灵拱写,未经允许禁止抄袭,转载请写上本博客地址


惩戒安全组官方群:200278129

It's safe! You know what?

                                                 戒灵-----Qq:2189190137



本文出自 MA2安全网,转载时请注明出处及相应链接。

发表评论

电子邮件地址不会被公开。必填项已用*标注


Ɣ回顶部