freetextbox跟fckeditor多是国外的一款编辑器。用的还挺多的。
基于.NET。
漏洞描述:所有版本 没做登陆验证可以直接访问上传木马
Freetextbox 3-3-1 可以直接上传任意格式的文件
Freetextbox 1.6.3 及其他版本可以上传 格式为x.asp;.jpg,利用
IIS解析漏洞拿SHELL。上传后SHELL的路径为http://www.tmdsb.com/images/x.asp;.jpg
漏洞文件:ftb.imagegallery.aspx
http://www.tmdsb.com/helps/ftb.imagegallery.aspx?frame=1在地址后面加上&rif=..&cif=..
整个网站目录就暴出来了哦。