小康's Blog

网站：https://www.ikcba.or.kr/  https://aeo.wscustoms.co.kr/ 2个站点 看了下好像没什么注入，菜逼没办法，直接丢御剑。。

丢进御剑扫出有fck编辑器路径，https://www.ikcba.or.kr/fckeditor/editor/fckeditor.html 其他几个空白或者没办法利用，一般fck都是打开这两个图片上传的地方可以看到有浏览服务器这个选项，但是这个没有，好吧直接选择“链接”有个Browes Server点击一下，跳转到可以上传图片的地方，看了下iis6.0的 可以直接上解析漏洞！

弄了张图片马格式：（cao.asp;1.jpg）iis6.0解析漏洞马的格式很多代价可以百度fck编辑器拿shell也很多也可以选择百度或者google一下，上传成功点击一下马的名称，额，没路径？ 继续查看链接，发现马的路径，查看一下，可以访问，菜刀搞起，连接成功，2个站点可跨目录。。

文章结束，水文一篇，大牛勿喷！