### 简要描述: 使用了用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!权限一般灰常的大。//*跟之前only_guest牛的不一样哦,但抄袭了下文字信息。 前面还提交了个银联的,,后来一看有人提交过类似的,那我还是直接报告给厂商吧。 ### 详细说明: 全部采用用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!全部可以获得管理权限! 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件 政府 上海公共研发平台 金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器 漏洞出现在:5107\upload\uploadfilesave.php 内 ``` <?php /** * uploadfilesave.php * 访客端文件上传. */ require_once('../global.inc.php'); /* chdir($CONFIG["canned_file_tmp"]); exec("rm -rf *"); */ $date = date("Ymd"); $dest = $CONFIG->basePath."data/files/".$date."/"; $COMMON->createDir($dest); //if (!is_dir($dest))mkdir($dest, 0777); $nameExt = strtolower($COMMON->getFileExtName($_FILES['inputSendFile']['name'])); $unallowedType = array('php', 'jsp', 'asp', 'sh', 'pl', 'js', 'jar', 'jad', 'class', 'java'); if(in_array($nameExt, $unallowedType)){ $msg = 2; } if(empty($msg)){ $filename = getmicrotime().'.'.$nameExt;...
### 简要描述: 使用了用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!权限一般灰常的大。//*跟之前only_guest牛的不一样哦,但抄袭了下文字信息。 前面还提交了个银联的,,后来一看有人提交过类似的,那我还是直接报告给厂商吧。 ### 详细说明: 全部采用用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!全部可以获得管理权限! 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件 政府 上海公共研发平台 金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器 漏洞出现在:5107\upload\uploadfilesave.php 内 ``` <?php /** * uploadfilesave.php * 访客端文件上传. */ require_once('../global.inc.php'); /* chdir($CONFIG["canned_file_tmp"]); exec("rm -rf *"); */ $date = date("Ymd"); $dest = $CONFIG->basePath."data/files/".$date."/"; $COMMON->createDir($dest); //if (!is_dir($dest))mkdir($dest, 0777); $nameExt = strtolower($COMMON->getFileExtName($_FILES['inputSendFile']['name'])); $unallowedType = array('php', 'jsp', 'asp', 'sh', 'pl', 'js', 'jar', 'jad', 'class', 'java'); if(in_array($nameExt, $unallowedType)){ $msg = 2; } if(empty($msg)){ $filename = getmicrotime().'.'.$nameExt; $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename); $filename = $dest.$filename; if(empty($_FILES['inputSendFile']['error'])){ move_uploaded_file($_FILES["inputSendFile"]["tmp_name"],$filename); } if (file_exists($filename)){ $msg = 1; $url = $file_url; @chmod($filename, 0444); }else{ $msg = 0; } } function getmicrotime(){ list($usec, $sec) = explode(" ",microtime()); return ((float)$usec + (float)$sec); } echo "{"; echo"msg: '" . $msg . "',\n"; echo"url: '" . $url . "'\n"; echo "}"; ?> ``` ### 漏洞证明: 前几天乌云有人提交迅雷http://icc.xunlei.com/5107/chat/chat.php 就这个问题导致。。。 传张图吧 [<img src="https://images.seebug.org/upload/201205/132123055a450484d508e0a3997e390c8afc1f32.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201205/132123055a450484d508e0a3997e390c8afc1f32.jpg)