### 简要描述: 全部采用用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!全部可以获得管理权限! 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件 政府 上海公共研发平台 金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器 ### 详细说明: 以下网站客服系统全部采用用友ICC客服系统 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件 政府 上海公共研发平台 金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器 小米科技 该程序的 /home/ecccs/web/5107https://images.seebug.org/upload/uploadFlash.php 文件存在严重的逻辑错误! 导致漏洞产生! 以上大型网站的客服系统全部可以通过此漏洞获取管理权限! ``` <?php /** * uploadFlash.php * Flash文件上传. */ require_once('../global.inc.php'); //operateId=1 上传,operateId=2 获取地址. $operateId= intval($_REQUEST['operateId']); if(empty($operateId)) exit; if($operateId == 1){ $date = date("Ymd"); $dest = $CONFIG->basePath."data/files/".$date."/"; $COMMON->createDir($dest); //if (!is_dir($dest))mkdir($dest, 0777); $nameExt =...
### 简要描述: 全部采用用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!全部可以获得管理权限! 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件 政府 上海公共研发平台 金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器 ### 详细说明: 以下网站客服系统全部采用用友ICC客服系统 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件 政府 上海公共研发平台 金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器 小米科技 该程序的 /home/ecccs/web/5107https://images.seebug.org/upload/uploadFlash.php 文件存在严重的逻辑错误! 导致漏洞产生! 以上大型网站的客服系统全部可以通过此漏洞获取管理权限! ``` <?php /** * uploadFlash.php * Flash文件上传. */ require_once('../global.inc.php'); //operateId=1 上传,operateId=2 获取地址. $operateId= intval($_REQUEST['operateId']); if(empty($operateId)) exit; if($operateId == 1){ $date = date("Ymd"); $dest = $CONFIG->basePath."data/files/".$date."/"; $COMMON->createDir($dest); //if (!is_dir($dest))mkdir($dest, 0777); $nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name'])); $allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg'); if(!in_array($nameExt, $allowedType)){ $msg = 0; } if(empty($msg)){ $filename = getmicrotime().'.'.$nameExt; $file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename); $filename = $dest.$filename; if(empty($_FILES['Filedata']['error'])){ move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename); } if (file_exists($filename)){ //$msg = 1; $msg = $file_url; @chmod($filename, 0444); }else{ $msg = 0; } } $outMsg = "fileUrl=".$msg; $_SESSION["eoutmsg"] = $outMsg; exit; }else if($operateId == 2){ $outMsg = $_SESSION["eoutmsg"]; if(!empty($outMsg)){ session_unregister("eoutmsg"); echo '&'.$outMsg; exit; }else{ echo "&fileUrl=0"; exit; } } function getmicrotime(){ list($usec, $sec) = explode(" ",microtime()); return ((float)$usec + (float)$sec); } ?> ``` ### 漏洞证明: 随便例举几个存在的 [<img src="https://images.seebug.org/upload/201202/27154121bebf7d049bbd7db62f6cc9569f48e1f5.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201202/27154121bebf7d049bbd7db62f6cc9569f48e1f5.jpg) https://95516.unionpay.com/5107https://images.seebug.org/upload/uploadFlash.php 银联 http://icc.xunlei.com/5107https://images.seebug.org/upload/uploadFlash.php 迅雷 http://app6.cpic.com.cn/5107https://images.seebug.org/upload/uploadFlash.php 太平洋保险 http://im.e-picc.com.cn/5107https://images.seebug.org/upload/uploadFlash.php 人寿保险 http://icc.hnair.com/5107https://images.seebug.org/upload/uploadFlash.php 海南航空 http://icc.icafe8.com/5107https://images.seebug.org/upload/uploadFlash.php 网维大师 http://online.haier.com/5107https://images.seebug.org/upload/uploadFlash.php 海尔电器 http://imv3.duba.net/5107https://images.seebug.org/upload/uploadFlash.php 金山毒霸 http://ncc2.sdrs.sdo.com/5107https://images.seebug.org/upload/uploadFlash.php 盛大在线 http://csol.dcfund.com.cn/5107https://images.seebug.org/upload/uploadFlash.php 大成基金 http://service.srcb.com/5107https://images.seebug.org/upload/uploadFlash.php 上海农商银行
