找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 .用友ICC网站客服系统远程代码执行漏洞EXP
返回列表 发新帖
查看: 2484|回复: 0
打印 上一主题 下一主题

.用友ICC网站客服系统远程代码执行漏洞EXP

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-13 17:51:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<?php
3 {0 ~: Z; M: |  y/**
& q$ ~$ u1 ?3 `9 l; \  L * uploadFlash.php
: s* n) U6 M& k. Q * Flash文件上传.
% ~" ^5 d2 [1 _) N! c. ^- J */, T- q$ r- ^3 q! k1 a! N
require_once('../global.inc.php');
9 C5 q8 d% ]# \6 z4 J/ b
; W3 i/ m0 K9 x- N* f4 T//operateId=1 上传,operateId=2 获取地址.# h" w8 L7 K. C( K1 f
$operateId = intval($_REQUEST['operateId']);- v$ L, r4 g( N3 ~
if(empty($operateId)) exit;0 W% N  W7 O  D  O( L4 ^& J+ W) x

. A) t& a; G) k  H4 iif($operateId == 1){
# V2 J9 \* h* P! A$ H( G( _ $date = date("Ymd");
% C9 i3 X6 ?! Z2 X. I8 n $dest = $CONFIG->basePath."data/files/".$date."/";
% B0 C, M6 e0 u' V! T% \ $COMMON->createDir($dest);
# p: M! J4 ?. A/ e9 L; z" x) b //if (!is_dir($dest)) mkdir($dest, 0777);
" Z1 x( ^& m) B
) `1 Y' R3 ?4 H& t! w; T4 ? $nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));
6 ]' q& t. @" q( Y9 C3 S / I) l$ Z7 H) `# l- ]
$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');, m5 W' X: d' n; K! ?, k4 f
# C/ V! v# X4 M" g3 B4 W3 Y
if(!in_array($nameExt, $allowedType)){$ i8 a! x1 I* T: d; a) m
  $msg = 0;3 |* m! |, I+ e  l5 Y" O" s; p2 H
}2 d% H1 [4 S1 Y& h# R9 s
if(empty($msg)){0 G- u2 ~- L7 q6 k) G) D0 P
  $filename = getmicrotime().'.'.$nameExt;
, P3 g" r4 k+ B: ]5 I0 [  $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);
# N& }# T$ W0 q  
9 e# B. }' g! w7 \* ~  $filename = $dest.$filename;
- k: O7 Y9 s- F1 b% r0 W  if(empty($_FILES['Filedata']['error'])){; j3 ?# `+ m6 w% s: M# Y( }
   move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);# R" c( j) r4 q6 c: ?3 k2 v) ^9 \/ c
  }
" B2 u. `' |; ?+ |  V  
/ U+ ~9 q; }9 E6 u( v0 Z% T- b+ M# x  if (file_exists($filename)){2 Y- \+ i1 o. o# k! @  K+ _
   //$msg = 1;! B8 M3 r) C5 {' s- p
   $msg = $file_url;
* D2 P# N1 ~: v9 U+ B$ H( R" {   @chmod($filename, 0444);/ T" q2 ^" c1 ]- c
  }else{
$ _/ Z# {0 x! X: r, e   $msg = 0;, S! O5 H6 P- o; [
  }
* k. F! d7 d9 T) d2 ^1 }  x }' }0 g' Q  y5 E4 R: I* q! H5 C9 u
$outMsg = "fileUrl=".$msg;: R! ]! D( e( {+ y/ @1 B& q
$_SESSION["eoutmsg"] = $outMsg;6 D+ r8 c: j7 r6 V8 _
exit;/ @+ c# B1 ~0 {  o
}else if($operateId == 2){) v0 a' Z! C) N: G5 q: x' ^
$outMsg = $_SESSION["eoutmsg"];
$ x: i9 p) q# M& B6 k3 h$ Y if(!empty($outMsg)){8 }& D! n' {# d" t( n
  session_unregister("eoutmsg");5 ~; h6 U3 m* p1 T" z  d1 }
  echo '&'.$outMsg;
# v& |' E+ T$ W" C( e" w. f  exit;7 Q6 f1 P1 Q8 o. M) _$ G
}else{: b% g1 w, ?/ q
  echo "&fileUrl=0";
; J: G0 U, ^8 q$ |* O* n, r8 O+ G  exit;
+ z# b$ h' F2 Q- o1 D6 o, s/ e }
0 g' g& ]0 u* ~8 J8 m  A3 A}
! l, H( S& w( r; m
1 v# r( i, w# h" v7 I! x" ?& I1 p' _function getmicrotime(){ 2 ]$ q3 m/ V& l8 l  o/ y, {6 M5 }' p
    list($usec, $sec) = explode(" ",microtime());
5 H& Q  c! H  A    return ((float)$usec + (float)$sec);
: k8 R& `8 C8 A# G}
, q  i5 {& |" h
! I1 H6 ]8 }" u2 f: C- o+ Q?># {' U. ~6 z: E1 s. z( ^# g* C) G2 @
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表