找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 .用友ICC网站客服系统远程代码执行漏洞EXP
返回列表 发新帖
查看: 2271|回复: 0
打印 上一主题 下一主题

.用友ICC网站客服系统远程代码执行漏洞EXP

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:51:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<?php
$ G2 W2 y$ m2 ~9 v/**
) J) i2 X/ i" M# a% J( m  }+ |: k5 Z; s * uploadFlash.php. e' ]5 O' h: F; A2 Y' H
* Flash文件上传.9 x, ^- [+ T! U' l' N: D
*/9 }2 B9 y; H) o9 t! e5 ~
require_once('../global.inc.php');
' k9 ]2 y% F% f9 s0 V  @$ @
% P3 W% N$ ^: e//operateId=1 上传,operateId=2 获取地址.
5 S/ T) l" Z* D( S$operateId = intval($_REQUEST['operateId']);
% c$ w& X; `' r2 I. P6 fif(empty($operateId)) exit;
/ B0 r- ?$ s1 y' w; t, A' [+ B# Y. u7 y
if($operateId == 1){: }+ B3 d- k/ `5 j, a
$date = date("Ymd");& ?# P3 ]$ t  ]
$dest = $CONFIG->basePath."data/files/".$date."/";
/ L5 ?% f& q5 E( m& W0 y: l: a $COMMON->createDir($dest);
7 @( s. J! C2 f4 _' C6 r //if (!is_dir($dest)) mkdir($dest, 0777);- H0 o2 B6 x3 a! u0 V( N

! x9 Q3 e1 Y* X# D% B! e $nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));, T3 l. t0 P' A4 P/ f2 [0 D. H
9 A& l) d6 i- N" g  b
$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');6 y0 ^0 G) D( g) U' f( f
) J$ o; \$ d/ d7 j# x0 U
if(!in_array($nameExt, $allowedType)){7 r( s' J  c$ J; z3 U6 S# X
  $msg = 0;
  l: g3 U  ?: ~  d. J* O! I }# j1 \3 n, d' P
if(empty($msg)){: T" n# l; G/ x& t6 q  l# d
  $filename = getmicrotime().'.'.$nameExt;* ]5 ?+ }7 g' Q( @
  $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);, T6 |+ v. x4 Q
  8 h1 _, m& o/ q9 M3 o5 }5 s
  $filename = $dest.$filename;& ]4 r% S1 W+ y1 M2 x: |  d( Z
  if(empty($_FILES['Filedata']['error'])){
; {" U& a! N2 M% p   move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);
# c; b9 e- [, S5 b, A6 w1 ]  }- A$ }5 r8 h* ]
  1 S$ {4 E0 M0 R: Y% F& c6 \% I
  if (file_exists($filename)){" _% F7 e" d# v* i8 G
   //$msg = 1;+ Y; U. |% u, r# i: m# y8 W8 o
   $msg = $file_url;
; v  N/ e6 _6 |% _0 W. N   @chmod($filename, 0444);# E6 G( B2 d- @) l( y2 z# h
  }else{2 d. s3 S) p0 L( U0 A
   $msg = 0;  j) D; K4 o) J! l0 O
  }# r4 Q% C6 ]& N0 T  ~: I- Z
}
# Q$ N% y8 k# l# k $outMsg = "fileUrl=".$msg;
4 G0 j" f  E/ E6 s3 \; ^+ F- o6 |+ K  y $_SESSION["eoutmsg"] = $outMsg;# x1 D( ]7 ^; h+ y% `5 b
exit;' T% W# u# d( w7 G
}else if($operateId == 2){
6 N% ^% e! ?9 }$ l $outMsg = $_SESSION["eoutmsg"];
' F, B! @& n. c& q# o+ s if(!empty($outMsg)){& N' M- e! ]" h/ G9 W7 o3 Z
  session_unregister("eoutmsg");
+ T, z) a. h% `# b/ o% N9 a/ z( A/ s  echo '&'.$outMsg;+ E+ ]. ~) ]6 A( _
  exit;
! t% ^/ D' v" J }else{
( R4 t& |# R8 T5 X, C9 |  echo "&fileUrl=0";# s' z- C- |! M9 P
  exit;
7 U4 Y' l% n: P' j }
  i$ o1 Z) b! Q9 n7 b}
8 ~) s& [3 G) b- ~2 G
; {0 u2 ]& d" Z" X  G, \8 ~& }function getmicrotime(){ 9 v- Q0 Z0 `: v1 p8 O* d
    list($usec, $sec) = explode(" ",microtime()); 6 D  X  k" o! B2 ]* e) m8 b
    return ((float)$usec + (float)$sec);
. {  z% P: z: \! r1 w2 P}
" {2 Y; i7 f  F. s. t1 c+ e* I) R, k- X* J% S
?>5 P# T& g2 f8 F# c( E
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表