找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 .用友ICC网站客服系统远程代码执行漏洞EXP
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 1957|回复: 0
打印 上一主题 下一主题

.用友ICC网站客服系统远程代码执行漏洞EXP

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:51:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<?php
# i  k7 T( {: d) o! v/**7 W: O; w. u. E  g
* uploadFlash.php
/ a2 p! e* P- }0 f$ l0 T8 u8 w  X. O9 _% t * Flash文件上传.
8 ~7 a' t# w) r+ E; ~$ o4 P2 G. u */
. v$ ]- y6 A6 [4 i# H$ u; E. Urequire_once('../global.inc.php');
* f$ V/ V/ j; Z. C$ i% s) Z/ f1 _# i7 f7 r  c; A
//operateId=1 上传,operateId=2 获取地址.' S+ k7 a+ @+ d
$operateId = intval($_REQUEST['operateId']);- E: ^2 e4 A2 R
if(empty($operateId)) exit;* `3 s1 P4 n4 |3 {* K$ I

2 K4 t4 A$ i9 l9 d% n+ [if($operateId == 1){/ J7 N0 V5 S$ g7 m& }# g- Q
$date = date("Ymd");
- t+ m. Q3 i0 ^! v, E" K $dest = $CONFIG->basePath."data/files/".$date."/";* Y7 t7 @. f3 o) v' o3 Q
$COMMON->createDir($dest);+ Q$ a) D" ?' ]3 Q- H+ W
//if (!is_dir($dest)) mkdir($dest, 0777);3 X2 k! U8 `. Z  m0 j% |) r

- f3 y* K8 e- k$ o3 K' q% P( c $nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));/ w" m. [! E) ^( G6 n' a- a
" q2 L: D4 v* t0 ^. s! c0 ?
$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');. b/ r8 j+ [$ d( i( |2 n* b% N

/ Y2 ]" Q0 ?& u) x) y if(!in_array($nameExt, $allowedType)){! f7 G6 ~$ V1 F, _% A: d
  $msg = 0;
9 z7 k* K$ z) ^% C7 @ }
8 W9 M; H+ O- o  W) j/ p6 d if(empty($msg)){; ]+ x: F7 s; G& U" I
  $filename = getmicrotime().'.'.$nameExt;
9 c4 V) ?0 {) E+ a8 Z  $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);
( w. Q7 ~0 r; U' D$ z/ V  ) a" G) q/ Q3 E: ~/ ~2 ~6 ?
  $filename = $dest.$filename;1 V" ]0 {( ~% N- Y
  if(empty($_FILES['Filedata']['error'])){
, j, `* w3 r- b$ l% r3 I, {   move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);$ V9 H. Z  B/ W/ h' y3 j2 g
  }
, F' g2 }9 Q6 T9 n  : }) x2 U6 V, H' F/ w
  if (file_exists($filename)){
( F4 O( N$ f1 o. U7 j/ F   //$msg = 1;! y! k* V7 h( H9 E" D) [8 X
   $msg = $file_url;) m$ d+ f1 E! Z' I; X3 Y% Z8 A
   @chmod($filename, 0444);1 k1 `$ l3 I- m% k& I# K
  }else{* o. w  C: a' n2 r+ B5 |
   $msg = 0;; E( @  d) W( q2 s
  }
5 P* B$ W, e7 Q, e6 U }
$ |3 k( ~1 e  I2 L $outMsg = "fileUrl=".$msg;) m; `/ x0 x9 E0 t
$_SESSION["eoutmsg"] = $outMsg;, v* `% z1 T! X6 ^( c
exit;
: F( {, Y7 C9 N, F}else if($operateId == 2){" p. f3 t+ l. {! S, T/ v; d- N9 g* Y' T
$outMsg = $_SESSION["eoutmsg"];  ~) e1 e6 w* N5 x! a
if(!empty($outMsg)){
% R& B& Z1 n& m  session_unregister("eoutmsg");
2 }& l2 @- L# i8 R$ D  echo '&'.$outMsg;
7 D8 x+ W$ m: q) i0 f( L  exit;
! c4 F% e7 f1 I/ u6 p }else{, x& S0 L+ M$ R. K
  echo "&fileUrl=0";
! B( ~3 G% }* z- r1 g  exit;' ]$ x: r5 D9 u% s0 N2 H. W
}; R4 k: ]. D& P6 a2 i
}
% s  ~. f/ D8 r. @0 O/ w: L, q% t/ h
7 k! i5 l% H/ v, g" Sfunction getmicrotime(){
5 N7 D, L+ t4 V) O    list($usec, $sec) = explode(" ",microtime()); 2 ~" K/ ~8 j2 [
    return ((float)$usec + (float)$sec); ' b0 b. u" h  M" E
}
5 [9 f6 I( i1 }% o. X
4 k1 O8 V4 N6 z$ c) k& r! s! E?>) @/ [, d/ [4 E+ ]+ ]3 J
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表