对 jsp版ewebeditor程序入侵的一点看法

作者：逸冰博客发布时间：November 25, 2008 分类：纯粹兴趣

今天在网上看到别人关于 jsp版ewebeditor程序入侵，这套程序可以直接拿到服务器！我晚上有空也去逛了一下，发现真的好简单。首先使用GOOGLE搜索：inurl:web/resource/newspic 然后在搜索出来的网站域名后面加上web/webeditor/eWebEditor2.jsp?showPh=true 如果可以打开的话，就在设计里面的图片上传直接上传jsp大马，jsp大马是可以直接执行系统命令的，创建用户登陆3389远程桌面，就可以成功拿下服务器啦！但是我去看的时候，在执行命令的时候只能执行一些基本的命令，而提升不了权限，我也发现了在一个站上就存在着不少的jsp大马，晕啊！想不到这些站，还是N多人来光顾啊！我怕了，不玩啦！呵呵
大家来看看截图吧，好强大啊！...........