Fckeditor编辑器的漏洞几乎和ewebeditor编辑器漏洞一样严重.

关于ewebeditor编辑器的漏洞在小残博客的 http://www.exehack.net/328.html  在线编辑器漏洞暴光 有详细的说明。

与ewebeditor编辑器不通的是,Fckeditor编辑器的漏洞只存在于暴露编辑器的上传点和服务器IIS版本必须是iis6.0版本

（因为IIS6.0存在解析漏洞）

反之如果说服务器的IIS版本为6.0以上则无法利用。

一般情况下fckeditor编辑器的默认上传地址为:

/expansion/fckeditor/editor/filemanager/connectors/test.html
/expansion/fckeditor/editor/filemanager/connectors/uploadtest.html

如下图所示:

1知道了编辑器的上传地址后选择Connector项目的网站语言 一般情况下是选择asp 或者 asp.net

2.然后点击 Get Folders and Files  即可查看网站的图片目录文件 然后即可点击 浏览 选择我们的网站木马 点击上传即可。

3.上传成功后回到 Get Folders and Files 即可查看到上传的文件

如上图所示图片目录为 /uploadfile/  我们的木马名字是  exehack.asp;gif  

（注意:上传成功后一般情况下系统会自动按照时间格式改名大家可以在图片目录下查看上传成功后的木马名字）

如果我们存在漏洞的网站是http://exehack.net 网站那么上传成功后的木马文件就在http://exehack.net/uploadfile/木马.asp;gif

我们就无法找到上传点了。

比如如下情况: