(三)通过CuteEditor上传而获得突破

　　由于微软的IIS6存在着一个文件解析路径的漏洞，当文件夹名为类似“xxx.asp”的时候(即文件夹名看起来像一个ASP文件的文件名)，此时此文件夹下的文本类型的文件都可以在IIS中被当作ASP程序来执行。这样可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。

　　通过分析和观察，发现本网站系统是采用的CuteEditor编辑器。该编辑器本身的安全还做的可以，分为管理员/user/guest三种权限，其配置文件位于“CuteEditor\Configuration\Security”目录，通过分析Admin.config文件，其涉及安全核心关键代码如下：