找回密码
 立即注册
查看: 2538|回复: 0
打印 上一主题 下一主题

.用友ICC网站客服系统远程代码执行漏洞EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:51:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<?php
( @% k- u2 W; c7 {' {/**
/ C1 S; R8 j7 r3 L1 N. T * uploadFlash.php
0 K9 O1 G- {* k( K5 z+ `, E9 R * Flash文件上传.
  l! R1 R' j9 F1 e% c */. m- X4 {  g% n# [1 w
require_once('../global.inc.php');
; \- v+ Z. b8 i  e: L, r) ~+ }( q* D! p1 v- L7 N
//operateId=1 上传,operateId=2 获取地址.
  [8 q  z' _& o# j. \$operateId = intval($_REQUEST['operateId']);
+ @( S. u3 s* h( W- T+ Wif(empty($operateId)) exit;& G$ e0 w) w. t  v' R' ]7 a& q

3 x3 O( ]8 n2 g& {( l9 }if($operateId == 1){
4 z6 i' q1 J1 L( \ $date = date("Ymd");" k/ M( M. U+ V) E3 u0 m. V% n
$dest = $CONFIG->basePath."data/files/".$date."/";6 g4 n0 A  H. T4 c+ S
$COMMON->createDir($dest);
- I  ~( T9 b) F/ @ //if (!is_dir($dest)) mkdir($dest, 0777);
% S; c# E! C5 k( ^$ x( f5 E" }6 r 9 o' i% I- n  O3 D5 h% ?
$nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));, h- j- J. }" Q# K' t

" }. \% ]0 \# H) f  N! a $allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');
: @2 {, C3 R$ Q+ n) F3 g
+ t( f8 z  W4 w. o' U3 e" B9 h; Z if(!in_array($nameExt, $allowedType)){
- ~5 L+ f; j& J$ `7 M  $msg = 0;
$ i: T# U- `$ A }
/ Y% s$ W2 C: G- w0 x5 ` if(empty($msg)){: e# }3 m/ d+ s- o# W
  $filename = getmicrotime().'.'.$nameExt;4 [6 H4 V' f5 M
  $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);
- o2 r9 V2 l# N8 y  
9 ]/ h) N7 c1 D1 g  $filename = $dest.$filename;
9 @1 `0 a/ |3 l1 v- d  if(empty($_FILES['Filedata']['error'])){
2 {0 |  }/ f& |: ~# k   move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);% f; a  g6 y1 O6 P
  }
, p5 K9 a& q& t  `9 h' k  
1 r: K1 z) n. s( G0 b  if (file_exists($filename)){
4 q- X9 b. K: \   //$msg = 1;; S4 N) D0 |7 m$ i$ r( U3 w2 L8 Y
   $msg = $file_url;
" w) [4 s# R& g/ K/ O) r7 o; z   @chmod($filename, 0444);
6 N$ e. [% }# H) b: W) ^% n  }else{
" B4 M' h  {( U) [- U   $msg = 0;( E5 a  _0 r/ w9 J2 X; Y! d) H
  }
% y8 x3 L" \/ I }
/ _' ^+ U  W! ~/ M) g $outMsg = "fileUrl=".$msg;9 S& ?" p+ H) k
$_SESSION["eoutmsg"] = $outMsg;; C) f2 l5 }8 K2 G3 q5 v3 S
exit;
( U1 E! y7 j+ z9 o" ^& |}else if($operateId == 2){* u* J3 ~! g! @# {& ?
$outMsg = $_SESSION["eoutmsg"];
$ r3 u  d! |) ], f" Z if(!empty($outMsg)){
+ ~+ t0 C3 c  q$ E: f& q  session_unregister("eoutmsg");
% Z0 w( m; I  Z7 ~; |1 _  echo '&'.$outMsg;; }/ [& C3 X' {8 Q5 X8 \
  exit;' u$ V% q+ R7 y% n8 W
}else{, k5 s3 x. }/ Z% |+ j2 l' O
  echo "&fileUrl=0";5 P- Q7 S8 d3 `" C( ~. e9 ~
  exit;( L' `  ]2 @* l
}
7 i8 X, Y1 r1 f5 T+ N  S5 E4 W}2 x" H4 R# T( w4 Q; s

+ [6 ^% f( z* ^( V8 l5 Wfunction getmicrotime(){
+ i5 I! ^; I' q& r+ E  ?( }    list($usec, $sec) = explode(" ",microtime());
. F( c6 O  }0 A    return ((float)$usec + (float)$sec); 8 u9 L! H4 T4 P  Y8 l, j5 s5 g
}
$ X$ M. _0 o+ S3 }3 d% C7 i6 U
: E* R$ a. R+ D' _% ^1 g! Q) `$ R?>- t# k6 H0 V+ D. ~6 O" g
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表