ewebeditor编辑器漏洞连接大马复现
ewebeditor编辑器漏洞连接大马复现
eWebEditor是一个基于浏览器的在线HTML编辑器,WEB开发人员可以用它把传统的多行文本输入框“textarea”替换为可视化的富文本输入框。
1.御剑扫描81端口后发现有ewebeditor编辑器:
2.找到登录窗口地址尝试登录:
尝试用默认密码 admin admin 登录,发现可行;
3.点击样式管理
4在两个选框中加入|asp后面的限制也可以改大点,方便上传大马,点击提交:
5.点击浏览,然后点击图片上传大马
5.复制路径连接大马: