看到这个，大家都知道这是老生长谈了。不就ewebeditor么，网上一找一大堆。

    我这里有些0day和exp是网上找的。但经验与技巧却是我自己的。技术重要，思路也很重要，不说废话了，看下文！

    http://xxxxx.com/ewebeditor.asp?id=NewsContent&style=s_full

    直接这个地址，出现一堆编辑框，有远程上传，先点感叹号！查看版本！

2.1.6 的直接用此 exp：

不是通杀，版本有区别！我就郁闷，落叶那JJ说文章没说清楚，这份EXP就是根据文章写出来的！落叶那家伙的EXP我看半天没看明白有啥区别！

文件传到了uploadfile目录下了不知道算不算0day，我是冰的原点至于利用方法就是修改源文件中的action，然后传cer的马马就行了！

以下是引用片段：

2.1.6 以前版本的用此 exp：

以下是引用片段： ewebeditor asp版 1.0.0 上传漏洞利用程序----By HCocoa

    如果目录不充许执行脚本，要换目录，用这个 exp.... /db 可以自定义，不过要绝对路径！

以下是引用片段：

2.7.0 版本注入点：

    http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200

    默认表名：eWebEditor_System默认列名：sys_UserName、sys_UserPass，然后利用nbsi进行猜解，对此进行注入取得账号密码。

    ewebeditor 2.7.5 上传漏洞：这个用在修改了可以上传asa但是提示没有工具栏的情况下，作者不明。

以下是引用片段：

    这个要下载它的数据库看有没有前辈的脚印才能利用！

    ewebeditor 2.8.0 上传漏洞：前提要开启远程上传，然后传一个webshell.jpg.asp即可，查看源代码即可获得shell地址。

    这0day我从来没成功过，不知道是真还是假！不过用另一个成功过。

    http://xxx.com/ewebeditor.asp?id=NewsContent&style=s_full

    调用这个样式，会出现远程上传按纽，再用下面的方法远程上传！

    远程上传时执行代码，导致 get shell。

1、把 x.jpg.asp xiaoma.ASa 放在同一目录下：

——————————————————————x.jpg.asp—————————————————————

——————————————————————x.jpg.asp—————————————————————

—————————————————————xiaoma.ASa—————————————————————

"" then%> "%> "%> "%> "%> "%> "%> "%> "%>

—————————————————————xiaoma.ASa—————————————————————

2、远程上传 x.jpg.asp：

    会自动执行脚本，上传小马!

    tools 里的一位老大发现的删除文件漏洞，我试过没用，一般都没权限，这里不说。

ASPX 版：

    受影响文件：eWebEditorNet/upload.aspx

    利用方法：添好本地的cer的Shell文件。在浏览器地址栏输入 javascript:lbtnUpload.click(); 就能得到shell。嘿嘿....绕过了限制......成功的上传了ASPX文件....文件默认的上传后保存的地址是eWebEditorNet/UploadFile/现在来看看是否上传成功.....

    PHP 版，给出 exp：

Exp：     URL:   gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office|||1|||zh-cn|||0|||500|||300|||0|||...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1">  file:

    Jsp 的版本，根本没有对上传文件类型进行检测！需要注意的是 Jsp 版本的没有上传按钮！直接选择文件，回车就可以提交了！

文章来源于lcx.cc:Ewebeditor 在线HTML编辑器各种版本拿 WebShell 方法