推薦：解讀ASP程序中通用防SQL注入攻擊代碼
SQL注入一般的http請(qǐng)求不外乎get和post，所以只要我們?cè)谖募�中過濾所有post或者get請(qǐng)求中的參數(shù)信息中非法字符，就可以防SQL注入攻擊。 IIS傳遞給asp.dll的get請(qǐng)求是以字符串的形式，當(dāng)傳遞給Request.QueryString數(shù)據(jù)后，asp解析器會(huì)分析Request.QueryString

首先介紹編輯器的一些默認(rèn)特征：
    默認(rèn)登陸admin_login.asp
    默認(rèn)數(shù)據(jù)庫db/ewebeditor.mdb
    默認(rèn)帳號(hào)admin 密碼admin或admin888

    在baidu/google搜索inurl:ewebeditor
    幾萬的站起碼有幾千個(gè)是具有默認(rèn)特征的，那么試一下默認(rèn)后臺(tái)
    http://www.xxx.com.cn/admin/ewebeditor/admin_login.asp
    試默認(rèn)帳號(hào)密碼登陸。

    利用eWebEditor獲得WebShell的步驟大致如下：
    1、確定網(wǎng)站使用了eWebEditor。一般來說，我們只要注意發(fā)表帖子（文章）的頁面是否有類似做了記號(hào)的圖標(biāo)，就可以大致做出判斷了。
    2、查看源代碼，找到eWebEditor的路徑。點(diǎn)擊“查看源代碼”，看看源碼中是否存在類似“<iframe src=’/edit/ewebeditor.asp?id=content&style=web’ frameborder=0 scrolling=no width=’550’ HEIGHT=’350’></iframe>”的語句。其實(shí)只有發(fā)現(xiàn)了存在這樣的語句了，才可以真正確定這個(gè)網(wǎng)站使用了 eWebEditor。然后記下src=’***’中的“***”，這就是eWebEditor路徑。
    3、訪問eWebEditor的管理登錄頁面。eWebEditor的默認(rèn)管理頁面為admin_login.asp，和ewebeditor.asp在同一目錄下。以上面的路徑為例，我們?cè)L問的地址為：http://www.***.net/edit/admin_login.asp，看看是否出現(xiàn)了登錄頁面。
    如果沒有看到這樣的頁面，說明管理員已經(jīng)刪除了管理登錄頁面，呵呵，還等什么，走人啊，換個(gè)地方試試。不過一般來說，我很少看到有哪個(gè)管理員刪了這個(gè)頁面，試試默認(rèn)的用戶名：admin，密碼：admin888。怎么樣？成功了吧（不是默認(rèn)賬戶請(qǐng)看后文）！
    4、增加上傳文件類型。點(diǎn)擊“樣式管理”，隨便選擇列表中底下的某一個(gè)樣式的“設(shè)置，為什么要選擇列表中底下的樣式？因?yàn)閑WebEditor自帶的樣式是不允許修改的，當(dāng)然你也可以拷貝一個(gè)新的樣式來設(shè)置。
    然后在上傳的文件類型中增加“asa”類型。
    5、上傳ASP木馬，獲得WebShell。接下來將ASP木馬的擴(kuò)展名修改為asa，就可以簡(jiǎn)單上傳你的ASP木馬了。不要問我怎么上傳啊，看到 “預(yù)覽” 了嗎？點(diǎn)擊“預(yù)覽”，然后選擇“插入其它文件”的按鈕就可以了。

    漏洞原理
    漏洞的利用原理很簡(jiǎn)單，請(qǐng)看Upload.asp文件：
    任何情況下都不允許上傳asp腳本文件
    sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
    因?yàn)閑WebEditor僅僅過濾了ASP文件。記得我第一次使用eWebEditor時(shí)就在納悶：既然作者已經(jīng)知道asp文件需要過濾，為什么不同時(shí)過濾asa、cer等文件呢？也許這就是對(duì)免費(fèi)用戶不負(fù)責(zé)任的表現(xiàn)吧！

    高級(jí)應(yīng)用
    eWebEditor的漏洞利用還有一些技巧：
    1、使用默認(rèn)用戶名和密碼無法登錄。
    請(qǐng)?jiān)囋囍苯酉螺ddb目錄下的ewebeditor.mdb文件，用戶名和密碼在eWebEditor_System表中，經(jīng)過了md5加密，如果無法下載或者無法破解，那就當(dāng)自己的運(yùn)氣不好了。
    2、加了asa類型后發(fā)現(xiàn)還是無法上傳。
    應(yīng)該是站長(zhǎng)懂點(diǎn)代碼，自己修改了Upload.asp文件，但是沒有關(guān)系，按照常人的思維習(xí)慣，往往會(huì)直接在sAllowExt = Replace(UCase(sAllowExt), "ASP", "")一句上修改，我就看見過一個(gè)站長(zhǎng)是這樣修改的：
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")
    猛一看什么都過濾了，但是我們只要在上傳類型中增加“aaspsp”，就可以直接上傳asp文件了。呵呵，是不是天才的想法？“aaspsp”過濾了 “asp”字符后，反而變成了“asp”！順便告訴大家一個(gè)秘密，其實(shí)動(dòng)網(wǎng)論壇7.0 sp2中也可以利用類似的方法繞過對(duì)擴(kuò)展名的過濾。
    3、上傳了asp文件后，卻發(fā)現(xiàn)該目錄沒有運(yùn)行腳本的權(quán)限。
    呵呵，真是好笨啊，上傳類型可以改，上傳路徑不是也可以修改的嗎？
    4、已經(jīng)使用了第2點(diǎn)中的方法，但是asp類型還是無法上傳。
    看來站長(zhǎng)肯定是一個(gè)寫asp的高手，但是我們還有最后一招來對(duì)付他：eWebEditor能夠設(shè)定自動(dòng)保存遠(yuǎn)程文件的類型，我們可以加入asp類型。但是如何才能讓遠(yuǎn)程訪問的asp文件能夠以源碼形式保存呢？方法是很多的，最簡(jiǎn)單的方法是將IIS中的“應(yīng)用文件映射”中的 “asp”刪除。

分享：用紅色顯示ASP查詢數(shù)據(jù)時(shí)得到的記錄關(guān)鍵詞
% response.write replace(rs(字段X),searchname,font color=#FF0000 searchname /font) % 說明：rs為記錄集對(duì)象，searchname為搜索的關(guān)鍵詞 轉(zhuǎn)載自HTMer[http://www.htmer.com/]