ewebeditor漏洞解決方法

最新推荐文章于 2020-02-17 21:01:30 发布
原创 最新推荐文章于 2020-02-17 21:01:30 发布 · 813 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asp #session #user #iis

本文提供了一套针对ewebeditor安全漏洞的解决方案,包括修改密码、限制上传类型、更改数据库文件名等措施,帮助网站管理员有效提升系统安全性。
ewebeditor漏洞解決方法

1,修改admin的密碼.

2,upload.asp中的
' 任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
改為:
' 任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
sAllowExt = Replace(UCase(sAllowExt), "ASA", "")
sAllowExt = Replace(UCase(sAllowExt), "CER", "")
sAllowExt = Replace(UCase(sAllowExt), "AASPSP", "")
sAllowExt = Replace(UCase(sAllowExt), "CDX", "")
sAllowExt = Replace(UCase(sAllowExt), "HTR", "")

3,Admin_Private.asp
If Session("eWebEditor_User") = "" Then
 Response.Redirect "admin_login.asp"
 Response.End
End If
改為:
If Session("eWebEditor_User") = "" and IsSelfRefer() Then
 Response.Redirect "admin_login.asp"
 Response.End
End If
4,將db/ewebeditor.mdb改為13265341558110#$__.asp
同時也要將startup.aspoConn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source=" & Server.MapPath("db/13265341558110#$__.asp")

5,将IIS中的"应用文件映射"中的"asp"删除.


6,還有問題刪除admin_login.asp文件.

斑马智库
关注
漏洞复现篇——ewebeditor编辑器解析漏洞
爱国小白帽
02-18 4770
在线web编辑器,也叫做富文本 编辑器。 富文本编辑器,Rich Text Editor, 简称 RTE, 是一种可内嵌于浏览器,所见即所得的文本编辑器。 富文本编辑器不同于文本编辑器,程序员可到网上下载免费的富文本编辑器内嵌于自己的网站或程序里(当然付费的功能会更强大些),方便用户编辑文章或信息。比较好的文本编辑器有kindeditor,fckeditor等。 这样的程序,能够在网站上写文档的...
针对ewebeditor编辑器漏洞一次实战经验
渗透测试
09-09 1767
针对ewebeditor编辑器漏洞一次实战经验 目标:http://www.vocal-tec.com/ ip:100.42.49.117 渗透思路: 先扫描目录后台 扫描后挨个登陆,看是否有后台 看后台是否有弱口令 发现登陆不进去 但是意外发现网站采用的是ewebeditor编辑器 百度搜索漏洞ewebeditor目录再扫 发现后台登陆界面,使用弱密码 登陆成功 查看是否有文件上传界面 上传小马 连接小马,上传大马 getshell 可惜本次网站在登陆ewebeditor的后台网站后就无法
eWebEditor:网站中的隐形炸弹
FreeXploiT
01-06 2128
位站长在使用eWebEditor的时候是否发现,eWebEditor配置不当会使其成为网站中的隐形炸弹呢?第一次发现这漏洞源于去年的一次入侵,在山穷水尽的时候发现了eWebEditor,于是很简单就获得了WebShell。后来又有好几次利用eWebEditor进行入侵的成功经历,这才想起应该写一篇文章和大家共享一下,同时也请广大已经使用了eWebEditor的站长赶紧检查一下自己的站点。要不然,下
目前所有ewebeditor版本***的漏洞与问题总结
weixin_34357887的博客
01-03 714
1、ewebeditor 1.0.0 上传漏洞:这个是仿照冰的原点的exp写的. <H1>ewebeditor asp版1.0.0 上传漏洞利用程序—-By HCocoa</H1><br><br> <form action=”http://要上传的地址/ewebeditor/upload.asp?action=s...
eWebEditor7.3官方原版修改版
07-06
eWebEditor7.3官方原版修改版
FCKeditor与Ewebeditor漏洞全解析:安全警告与修复策略
这份漏洞手册提供了一种系统的方法来评估FCKeditor和EWebeditor的安全状况,并为开发者和管理员提供了解决和防止此类漏洞的重要指导。使用这类编辑器时,务必保持警惕,及时更新和配置,以保护网站免受安全威胁。
eWebEditor V10.0 for JSP 多语言商业版
07-15
总的来说,eWebEditor V10.0 for JSP 多语言商业版是一个强大且灵活的在线编辑解决方案,它为网站管理员和开发者提供了高效的内容创作和管理工具。通过深入理解和熟练使用这个编辑器,可以提升网站的互动性和用户...
eWebEditor V9.7 for ASP UTF-8版
07-18
eWebEditor是一个基于浏览器的在线HTML编辑器,WEB开发人员可以用她把传统的多行文本输入框替换为可视化的富文本输入框。... 感谢您选择eWebEditor,希望我们的产品能给您带来一个完美的在线编辑解决方案。
eWebEditor V9.7: 强大的在线HTML编辑器解决方案
- **无需客户端组件安装**:eWebEditor不需要在用户的计算机上安装任何组件或控件,它是一个纯粹的基于浏览器的解决方案。这意味着它可以在任何支持主流浏览器的平台上工作。 - **直观易用的界面**:编辑器提供一个...
Ewebeditor 的一些漏洞总结
eldn__的专栏
06-23 1万+
于是像windows一样被黑客们挖掘出很多漏洞,大家莫急,笔者Minghacker总结前人基础,一一道来。  对于目前asp版本的ewebeditor编辑器漏洞主要分为以下7点:  默认,遍历目录漏洞,一句话,注入,构造,cookie欺骗,社工(踩脚印入侵),  NO1.ewebeditor编辑器一般默认数据库路径是db/ewebeditor.mdb  默认的后台路径是admi
ewebeditor编辑器解析漏洞
cxrpty的博客
02-17 1175
实验环境:ewebeditor编辑器 实验步骤: 一、搭建环境 1.将下载好的eweb目录放到C:\Inetpub\wwwroot目录下 2.给eweb文件夹设置权限,依次点击:右键——属性——安全,将Internet 来宾用户和IIS_WAP用户得权限都设置成完全控制 3.在浏览器输入IP/eweb/admin_login.asp 即可进入到下面界面: 二、解析漏洞 ...
Ewebeditor最新漏洞漏洞大全
weixin_34357928的博客
08-02 365
Ewebeditor最新漏洞漏洞大全[收集] 来源:转载作者:佚名时间:2009-06-03 00:04:26 下面文章收集转载于网络:) 算是比較全面的ewebeditor编辑器的漏洞收集,如今的站点大多数用的都是ewebeditor编辑器, 所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找。 漏洞更新日期TM: 2009 2...
ewebeditor漏洞利用总结
fengling132的专栏
03-16 1257
ewebeditor漏洞利用总结      先从最基本的记录起!通常入侵ewebeditor编辑器的步骤如下: 1、首先访问默认管理页看是否存在。         默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp (各种语言的大家自己改后缀,本文就以asp来进行说明,下面不再细说了!) 2、默认管理帐号密码!
ewebeditor漏洞大全
热门推荐
xysoul的专栏
03-23 1万+
1:默认管理后台: http://www.backlion.com/ewebeditor/admin_login.asp 后台如果能进入: 可点击样式管理: standard 拷贝一份(直接修改改不了) 在拷贝的一份里加入图片类型( asa aaspsp )   然后点预览 在编辑器里点设计    然后直接上传asa大马. 上传后 在代码里可以看到马的位置!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值