1.FCKeditor
FCKeditor是一個專門用在網頁上的，開放原始碼的所見即所得文字編輯器，不需要太複雜的安裝步驟即可使用。它可以和PHP、JavaScript、ASP、ASP.NET、ColdFusion、Java及ABAP等程式語言相結合。
在早期版本中輸入地址“fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector”,可以直接上傳檔案。
JSP版本：/jsp/connector
ASPX版本：/aspx/connector
cfm版本：/cfm/connector

由於FCKeditor的典型目錄結構是“UserFiles/Image/”，因此，上傳的webshell地址格式為"UserFiles/Image(File或Flash)/+檔名稱"。在本例中上傳到Flash檔案目錄，所以實際地址為"http://www.xxxxx.com/UserFiles/Flash/Browser.jsp"

備註：發現上傳點之後的滲透步驟：
1.直接上傳webshell [系統未作任何防護]
2.先將webshell的字尾名改為.jpg，然後在Burp中將字尾改回到php或其他指令碼字尾 [系統僅作了前端防護，和沒防護一樣]
3.上傳php，在Burp中將Content-Type改為image/jpeg [系統僅做了MIME的檢查]
4.將webshell命名為x.PhP或者xxx.php.rar.rar.rar（Apache 1.x 和 2.x）或者是x.php.（僅windows）或者是x.php[空格]（僅windows） [繞過後綴名黑名單]
5.將webshell命名為xxx.php[\0].jpg或者是xxx.php;yyy.jpg（windows+iis6） [繞過後綴名的白名單]
6.將webshell檔案前面綴上jpeg圖片的內容（可以以php等字尾結尾，若成功，表示程式僅檢查了檔案頭，若以jpg結尾，則還需要搭配iis6的父資料夾/*.asp/中的檔案解析漏洞） [繞過上傳檔案內容檢查]