### 简要描述:
使用了用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!权限一般灰常的大。//*跟之前only_guest牛的不一样哦,但抄袭了下文字信息。
前面还提交了个银联的,,后来一看有人提交过类似的,那我还是直接报告给厂商吧。
### 详细说明:
全部采用用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!全部可以获得管理权限!
网络游戏
盛大网络
光通娱乐
在线销售
麦考林
母婴之家
教育
威迅教育
中锐留学
汽车
广州本田
永达汽车
物流
顺丰速运
申通快递
保险
太平洋保险
PICC中国人保
软件/互联网
金山软件
政府
上海公共研发平台
金融
中国银联
环迅电子商务有限公司
IFX
大成基金
东亚银行
运营商
中国电信
中国联通
安徽电信
西藏电信
行业资讯平台
泡泡网
中国汽车网
中国塑料网
网易163
零售卖场
苏宁电器
漏洞出现在:5107\upload\uploadfilesave.php 内
```
<?php
/**
* uploadfilesave.php
* 访客端文件上传.
*/
require_once('../global.inc.php');
/*
chdir($CONFIG["canned_file_tmp"]);
exec("rm -rf *");
*/
$date = date("Ymd");
$dest = $CONFIG->basePath."data/files/".$date."/";
$COMMON->createDir($dest);
//if (!is_dir($dest)) mkdir($dest, 0777);
$nameExt = strtolower($COMMON->getFileExtName($_FILES['inputSendFile']['name']));
$unallowedType = array('php', 'jsp', 'asp', 'sh', 'pl', 'js', 'jar', 'jad', 'class', 'java');
if(in_array($nameExt, $unallowedType)){
$msg = 2;
}
if(empty($msg)){
$filename = getmicrotime().'.'.$nameExt;
$file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);
$filename = $dest.$filename;
if(empty($_FILES['inputSendFile']['error'])){
move_uploaded_file($_FILES["inputSendFile"]["tmp_name"],$filename);
}
if (file_exists($filename)){
$msg = 1;
$url = $file_url;
@chmod($filename, 0444);
}else{
$msg = 0;
}
}
function getmicrotime(){
list($usec, $sec) = explode(" ",microtime());
return ((float)$usec + (float)$sec);
}
echo "{";
echo "msg: '" . $msg . "',\n";
echo "url: '" . $url . "'\n";
echo "}";
?>
```
### 漏洞证明:
前几天乌云有人提交迅雷http://icc.xunlei.com/5107/chat/chat.php 就这个问题导致。。。
传张图吧
[<img src="https://images.seebug.org/upload/201205/132123055a450484d508e0a3997e390c8afc1f32.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201205/132123055a450484d508e0a3997e390c8afc1f32.jpg)
京公网安备 11010502034610号
暂无评论