找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 1909|回复: 0
打印 上一主题 下一主题

.用友ICC网站客服系统远程代码执行漏洞EXP

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:51:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
<?php
) Z2 ^5 R( d' O; a# P/**
5 @8 ?( ~' t0 y, K" i * uploadFlash.php
. j6 E6 @5 }2 q * Flash文件上传.
3 Z3 t' W4 S3 o. A2 A6 } */
4 {0 b6 T  ]6 V8 v1 `! I, urequire_once('../global.inc.php');0 c) G( i% i2 `& v6 `
) ~# @) \' L, W6 T' W8 {
//operateId=1 上传,operateId=2 获取地址.2 N8 _7 p# y& z; V5 a
$operateId = intval($_REQUEST['operateId']);
$ n4 \  h5 H0 q- e; S- p' Xif(empty($operateId)) exit;4 D& s  y* J! X/ |' y6 F
( s& `% o5 a8 s$ y8 h4 k; U6 t  k
if($operateId == 1){: e" F" Q  c! T0 }
$date = date("Ymd");
7 i% d) q* E7 T $dest = $CONFIG->basePath."data/files/".$date."/";( ?8 X, ?- }" N
$COMMON->createDir($dest);
& R; H. F  X9 L- _6 T //if (!is_dir($dest)) mkdir($dest, 0777);* W5 T4 ]. x- U! _; J

' u0 h! q' O, w0 x% h $nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));6 B) C0 E' B3 y. H% u

: W! ^& T9 g: b  W& h% D. m $allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');: _! X. z9 X' e6 \
& f5 Q# I0 r6 S
if(!in_array($nameExt, $allowedType)){
4 ^' `& \. t% [. F& S6 X& T" t  $msg = 0;
  {$ R9 }% [( _ }2 J/ x% \" A% O' V7 Q+ J
if(empty($msg)){" |( U5 {4 }, o# `# c
  $filename = getmicrotime().'.'.$nameExt;
5 o9 l2 {+ c7 _5 B/ p$ i/ R6 o1 J1 ]  $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);9 U2 {3 q. W. L$ ~* Y4 m# k- G
  
& ]$ U5 o: U/ x  $filename = $dest.$filename;. r& z- ^! b5 S2 a; Q4 K2 P
  if(empty($_FILES['Filedata']['error'])){3 ^: m- W! y2 \) H8 E
   move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);& ?, t# [* `4 o9 d; \7 B: Q, [" d1 l
  }
, p5 a2 o0 ?8 D  
/ m& T( P, W& f1 k' `  if (file_exists($filename)){
$ |8 Y# \. K0 Y+ u4 K' v   //$msg = 1;. Z8 p8 ?; a. u! Y' H7 r+ f
   $msg = $file_url;. a- j# h. ^2 F& I2 h1 X
   @chmod($filename, 0444);
9 b3 m6 N* ~- u5 e4 f; u  }else{
* t. T3 X( ^/ q3 ^5 G2 i/ U   $msg = 0;3 @: Y# M1 a8 G) K( i
  }
) W6 O; p9 C1 i( Z7 I }
! @; v3 s# l' S$ k $outMsg = "fileUrl=".$msg;+ a$ }  R0 L4 }. Z  p
$_SESSION["eoutmsg"] = $outMsg;6 f* F# b6 L: i% y
exit;% `3 ?* }- x, a: V  q; I$ @% i# T
}else if($operateId == 2){. @5 z! L& G' d" |
$outMsg = $_SESSION["eoutmsg"];
, l1 U/ m- J; n  _! ? if(!empty($outMsg)){3 u  p0 f9 ^( f
  session_unregister("eoutmsg");# x4 t3 B+ A( ]# I& z$ `
  echo '&'.$outMsg;
+ H, b* |8 v; ]- o3 O, v  exit;
8 b7 I  ^/ W# F }else{
5 a5 e$ |$ e6 s  |9 S" T. ~* Y' v  echo "&fileUrl=0";1 a; A: ~: F! ?/ T# `( I9 T( ?
  exit;' O+ p0 R* U$ A( v& c) ^
}* Y2 U3 e; l+ |! Q- y, ]
}8 e6 j- \2 ]; N0 }7 a

& t5 p5 p2 {! F8 G$ z, Gfunction getmicrotime(){ ) X) T6 q: I( `9 o- u- o4 k
    list($usec, $sec) = explode(" ",microtime()); 4 w/ G# Q; L  W/ Y0 ^( j
    return ((float)$usec + (float)$sec);
+ l0 g) U% `& ~6 J: y, a& t}. E0 v3 N$ {* g- h
; I! }+ I; f9 n3 e
?>$ E4 @/ q( `2 w( d( i0 y& D) ~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表