找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 .用友ICC网站客服系统远程代码执行漏洞EXP
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1811|回复: 0
打印 上一主题 下一主题

.用友ICC网站客服系统远程代码执行漏洞EXP

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:51:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<?php, n" e% N& F1 V4 k  I* ^( u+ r
/**
1 L! a! ?$ g: Q" K7 }3 H7 C * uploadFlash.php+ a' N- Z3 P" u& V* S- Q
* Flash文件上传.+ Y) D0 C7 o7 W: x
*/
- Z$ S& `+ G: {5 W% f4 W% p; ]0 Arequire_once('../global.inc.php');; X0 A  |0 P) n  ^: }: j
4 r2 ^. X' N% Q5 B& E5 Z
//operateId=1 上传,operateId=2 获取地址.
/ Y9 f! b* c! u0 |$operateId = intval($_REQUEST['operateId']);4 x) v1 e& G# w! {3 U8 \1 F
if(empty($operateId)) exit;8 n  N! \/ Z. @( U( |. A* h
9 ?7 g+ @; J1 i9 w, V' z
if($operateId == 1){
! b$ ^8 s$ y3 H3 k7 x7 k $date = date("Ymd");
2 R0 g% ~! F+ c $dest = $CONFIG->basePath."data/files/".$date."/";# f* L% E  {# l7 y0 ~6 u
$COMMON->createDir($dest);3 X' z  b. h: e" m6 _
//if (!is_dir($dest)) mkdir($dest, 0777);* i/ L; h' y2 }, G/ a% a
! a; M) y4 N1 b5 V
$nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));
$ c5 \; @) A6 i8 ?
2 P& L# Y! O' N7 t $allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');
* d" |/ u  t0 Y4 i5 P2 d
& d# A2 h( |! i; } if(!in_array($nameExt, $allowedType)){
9 }) H! B7 F) ^9 j  $msg = 0;  L' X& Z4 T, H1 x5 {3 v& n% S9 X
}
  h: V2 P: K. r/ y; F3 f$ H, O# i8 Y. q2 v if(empty($msg)){; q2 f- y# W( v7 W
  $filename = getmicrotime().'.'.$nameExt;
+ |7 E! c+ o$ I4 j% O' j  $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);9 x( q" d; Z) [+ ?) Q+ m
  
3 \# d: W) n- T' s; y  $filename = $dest.$filename;
; ?$ F" h; L. y# \5 ^1 G  if(empty($_FILES['Filedata']['error'])){
$ }8 [$ h5 W( o# W7 A8 }   move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);( F: R3 g: y! N9 ]2 Q0 a5 E
  }
/ q4 U& p6 F$ z3 M' r) [. b& J  9 d) x! I: S* R- b; j+ ]6 Z$ ^0 e
  if (file_exists($filename)){
3 f+ q- O* C9 q/ R1 T% h   //$msg = 1;
& E6 {) t! I+ z: O# n, ]( x   $msg = $file_url;8 p) Z: d6 d% ]+ e& [! @
   @chmod($filename, 0444);
4 z" R( i# {% i! T# l) W! I, H) I  }else{% {% _. I: O6 D9 j1 H4 |* e, t, F( y
   $msg = 0;
/ y) I0 {8 h, K* u; f1 u  I& g  }# y4 ~( w$ c- \. n
}! R! o& D6 ~. `
$outMsg = "fileUrl=".$msg;) a# q  u. o( y! F
$_SESSION["eoutmsg"] = $outMsg;
5 c# w! D7 R7 j8 E& `! S exit;
" s! v6 ]1 _2 o1 o8 G}else if($operateId == 2){1 }8 Z: p9 \" o. `5 W
$outMsg = $_SESSION["eoutmsg"];0 X0 T( q. ^) z, M
if(!empty($outMsg)){
/ N; U% ~" U4 F- Y1 g, b& H. u  session_unregister("eoutmsg");
! i6 y, V, H9 g, Z  d8 X* s  echo '&'.$outMsg;
6 `7 T9 W( D8 }1 y/ w! j3 l, I  exit;
: d. u% _4 _, d; M2 X# w" o }else{  c$ ]. z2 X9 A
  echo "&fileUrl=0";
6 u5 a; w$ @: n8 ~  exit;
) y* J  ?1 Q  e }8 ~+ d  a( T& N& B, ]2 Y
}; P4 X" c! v( D
# G- \" r' D5 z3 X  `0 ]. F3 X
function getmicrotime(){ 5 q$ c& }3 t9 x! z  y
    list($usec, $sec) = explode(" ",microtime());
& z% r+ w. [. r& p" k    return ((float)$usec + (float)$sec);
9 e: N7 z2 W% K5 l! n}+ D: G2 J7 {6 v  Q
/ E. j% u, |" h9 k$ [3 }
?>: q- |5 @' M3 d1 t6 P2 K" [
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表