找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1910|回复: 0
打印 上一主题 下一主题

.用友ICC网站客服系统远程代码执行漏洞EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:51:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<?php2 o8 {/ |. \& e# ]
/**) L, ]  i6 t, U5 @# X! ^
* uploadFlash.php
- E) R) u9 q/ B+ z! h * Flash文件上传.! V6 z( C. ]5 G) k) i' t; w
*/0 G9 O) O5 d6 T9 y* j& K
require_once('../global.inc.php');
# A- u5 z3 _9 e1 W) N' O3 I) ]7 E6 X" A  }$ K, B( [2 W9 i
//operateId=1 上传,operateId=2 获取地址.3 V" Q) f$ U+ X, Y
$operateId = intval($_REQUEST['operateId']);6 X, ^- g/ P9 L8 v1 _
if(empty($operateId)) exit;
( Q) d# A. n( }+ V6 q% ?* |
; ]% ?# v. u3 qif($operateId == 1){: X+ k( _+ d" [6 S8 R' E
$date = date("Ymd");
' U& T7 x5 i& u  n, t3 q $dest = $CONFIG->basePath."data/files/".$date."/";, f1 L9 V5 l- _8 u1 }: J, B; R
$COMMON->createDir($dest);
4 D4 D9 B# G4 }+ i9 n //if (!is_dir($dest)) mkdir($dest, 0777);9 r, H. |% n% F' X. Z
. M4 ?2 I8 R/ ]( F, W* T7 a
$nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));
7 G  S. }( a$ W
5 S( G' S, K& L! K2 P $allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');' p3 ]" A( r) M' |& a
! p* K0 r: A- R# p, p
if(!in_array($nameExt, $allowedType)){
% x4 Z2 o, K% J  $msg = 0;1 n0 U/ @: q. e+ C
}
5 r7 \; {6 e0 P. r: m if(empty($msg)){
  ^& K. O( P# x; ?  }, j5 B! S  $filename = getmicrotime().'.'.$nameExt;4 f- K# j( G9 x5 u
  $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);
4 P5 w3 p' J; D5 N  
- j2 ~1 E3 q% Y. D  $filename = $dest.$filename;
* J4 T) X) s, V, w; u  if(empty($_FILES['Filedata']['error'])){9 h& u/ x, Y, n/ v/ H& c, |. \
   move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);
5 z1 B# Y$ K$ c, d  }; j' s6 Y. Y8 M! o& P
  + a0 o7 T1 P6 z' C) @
  if (file_exists($filename)){! U1 O: t. E1 B2 C8 ~
   //$msg = 1;4 G4 i+ G* W* X
   $msg = $file_url;
, D3 C. E8 N% O2 W$ B   @chmod($filename, 0444);
% _$ r+ x% e$ `% x  }else{
+ g) g6 v5 }( C9 j2 M   $msg = 0;! Y  Y: }4 {* A' j/ E
  }
* m9 K6 p3 \1 _4 s: ?* a! J7 [6 U }6 n9 G9 L& M0 \9 Q1 V' o
$outMsg = "fileUrl=".$msg;
* K! T9 n! D8 A $_SESSION["eoutmsg"] = $outMsg;. I% w6 i7 ?3 P: l
exit;
; j( [9 N+ z) W" t) f, }: a}else if($operateId == 2){; a3 i( u! T# e5 D
$outMsg = $_SESSION["eoutmsg"];
6 o* g7 A) ?# u1 x7 r( x9 J" W if(!empty($outMsg)){7 I/ q' Z" U* W4 `* b0 i
  session_unregister("eoutmsg");
( n, K  A4 f- j/ X0 E0 o6 m  echo '&'.$outMsg;
; g( L, v$ w7 y) C1 V0 X. k  exit;1 b& w2 O; L, M9 ]# m
}else{) `% ^: `0 N- p9 m# d& Z( ]6 T% O
  echo "&fileUrl=0";+ x8 n* p& u0 T: K7 l, |2 [
  exit;
) T5 h4 M# [( S4 z* ? }
. Q! `. P4 K* y! B0 w}  K! ~+ l: I) g1 _+ l
$ N" Y! ~/ r+ |( u2 A8 E4 G
function getmicrotime(){
6 L9 i4 F% n/ w- v    list($usec, $sec) = explode(" ",microtime());
: f4 L  \1 {7 ^8 ^9 Y$ a9 {7 t    return ((float)$usec + (float)$sec); " ?$ s( z/ Y& L- g0 n9 M) z4 H
}: v' r3 x- U# |4 G

% r9 J) ]0 k9 p?>
4 x: Y3 d. n, ?6 }( L. N2 k. S( B
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表