漏洞原理

漏洞的利用原理很简单，请看Upload.asp文件：任何情况下都不允许上传asp脚本文件 sAllowExt = Replace(UCase(sAllowExt), "ASP", "") ，因为eWebEditor仅仅过滤了ASP文件。asa、cer等文件却没有过滤。

高级应用

eWebEditor的漏洞利用还有一些技巧：

1．使用默认用户名和密码无法登录。

请试试直接下载db目录下的ewebeditor.mdb文件，用户名和密码在eWebEditor_System表中，经过了md5加密，如果无法下载或者无法破解，那就当自己的运气不好了。

2．加了asa类型后发现还是无法上传。

应该是站长懂点代码，自己修改了Upload.asp文件，但是没有关系，按照常人的思维习惯，往往会直接在sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改，我就看见过一个站长是这样修改的：sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "") 。猛一看什么都过滤了，但是我们只要在上传类型中增加“aaspsp”，就可以直接上传asp文件了。呵呵，是不是天才的想法？“aaspsp”过滤了“asp”字符后，反而变成了“asp”！顺便告诉大家一个秘密，其实动网论坛7.0 sp2中也可以利用类似的 *** 绕过对扩展名的过滤。

3．上传了asp文件后，却发现该目录没有运行脚本的权限。呵呵，真是好笨啊，上传类型可以改，上传路径不是也可以修改的吗？仔细看看图四。

4．已经使用了第2点中的 *** ，但是asp类型还是无法上传。

看来站长肯定是一个写asp的高手，但是我们还有最后一招来对付他：看到图三中的“远程类型”了吗？eWebEditor能够设定自动保存远程文件的类型，我们可以加入asp类型。但是如何才能让远程访问的asp文件能够以源码形式保存呢？ *** 是很多的，最简单的 *** 是将IIS中的“应用文件映射”中的“asp”删除。

 

历遍整个网站目录漏洞

当然.数据库为只读的时候一样可以利用.

上传文件管理---选择样式目录(随便选一个目录)

得到: ewebeditor/admin_uploadfile.asp?id=14 ，在id=14后面添加&dir=.. ，再加 &dir=../.. ，&dir=../../../.. 看到整个网站文件了