做网站做了也有几年了,又是学信息安全的,可以从来没有想要去入侵别人的网站。
那天是一个偶然的机会,我在那网站浏览时发现他提供下载的的放在ewebeditor/upload目录下。明显嘛,网站使用了ewebeditor的编辑器,和我用的一样!这个编辑器有一个自己的后台的,用于修改编辑器的一些设置,我突然想到,那个后台的用户名和密码会不会还是初始的admin和admin?
于是我进入后台管理的登录页面ewebeditor/admin_login.asp,使用上面的用户名和密码登录。天!进去了!使用编辑器的预览功能,可以上传文件,可是不能上传asp文件(不过现在至少可以拿来作网络硬盘用了的哦~~)。再看,这个后台有一个管理上传文件的功能,可以查看、删除上传文件夹中的内容!嘻嘻,我把默认的上传路径设为网站的根目录的,呵呵,看到了home.asp!删掉?我可不敢......
找到身份验证的????.asp,删除,便可登录后台,发表文章......不敢.....
ewebeditor确实好用,建议大家在设置好编辑器样式后把无用的.asp文件给删掉,以免危险!
