用友ICC网站客服系统远程代码执行漏洞

2012-02-26T00:00:00
ID SSV:93298
Type seebug
Reporter Root
Modified 2012-02-26T00:00:00

Description

简要描述:

全部采用用友ICC客服系统,上线前没有做严格测试!导致漏洞产生!全部可以获得管理权限! 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件

政府 上海公共研发平台

金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器

详细说明:

以下网站客服系统全部采用用友ICC客服系统 网络游戏 盛大网络 光通娱乐 在线销售 麦考林 母婴之家 教育 威迅教育 中锐留学 汽车 广州本田 永达汽车 物流 顺丰速运 申通快递 保险 太平洋保险 PICC中国人保 软件/互联网 金山软件

政府 上海公共研发平台

金融 中国银联 环迅电子商务有限公司 IFX 大成基金 东亚银行 运营商 中国电信 中国联通 安徽电信 西藏电信 行业资讯平台 泡泡网 中国汽车网 中国塑料网 网易163 零售卖场 苏宁电器 小米科技 该程序的 /home/ecccs/web/5107https://images.seebug.org/upload/uploadFlash.php 文件存在严重的逻辑错误! 导致漏洞产生! 以上大型网站的客服系统全部可以通过此漏洞获取管理权限!

``` <?php /* * uploadFlash.php * Flash文件上传. / require_once('../global.inc.php'); //operateId=1 上传,operateId=2 获取地址. $operateId = intval($_REQUEST['operateId']); if(empty($operateId)) exit; if($operateId == 1){ $date = date("Ymd"); $dest = $CONFIG->basePath."data/files/".$date."/"; $COMMON->createDir($dest); //if (!is_dir($dest)) mkdir($dest, 0777);

$nameExt = strtolower($COMMON-&gt;getFileExtName($_FILES['Filedata']['name']));

$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');

if(!in_array($nameExt, $allowedType)){
    $msg = 0;
}
if(empty($msg)){
    $filename = getmicrotime().'.'.$nameExt;
    $file_url = urlencode($CONFIG-&gt;baseUrl.'data/files/'.$date."/".$filename);

    $filename = $dest.$filename;
    if(empty($_FILES['Filedata']['error'])){
        move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);
    }

    if (file_exists($filename)){
        //$msg = 1;
        $msg = $file_url;
        @chmod($filename, 0444);
    }else{
        $msg = 0;
    }
}
$outMsg = "fileUrl=".$msg;
$_SESSION["eoutmsg"] = $outMsg;
exit;

}else if($operateId == 2){ $outMsg = $_SESSION["eoutmsg"]; if(!empty($outMsg)){ session_unregister("eoutmsg"); echo '&'.$outMsg; exit; }else{ echo "&fileUrl=0"; exit; } } function getmicrotime(){ list($usec, $sec) = explode(" ",microtime()); return ((float)$usec + (float)$sec); } ?> ```

漏洞证明:

随便例举几个存在的

<img src="https://images.seebug.org/upload/201202/27154121bebf7d049bbd7db62f6cc9569f48e1f5.jpg" alt="" width="600" onerror="javascript:errimg(this);">

https://95516.unionpay.com/5107https://images.seebug.org/upload/uploadFlash.php 银联 http://icc.xunlei.com/5107https://images.seebug.org/upload/uploadFlash.php 迅雷 http://app6.cpic.com.cn/5107https://images.seebug.org/upload/uploadFlash.php 太平洋保险 http://im.e-picc.com.cn/5107https://images.seebug.org/upload/uploadFlash.php 人寿保险 http://icc.hnair.com/5107https://images.seebug.org/upload/uploadFlash.php 海南航空 http://icc.icafe8.com/5107https://images.seebug.org/upload/uploadFlash.php 网维大师 http://online.haier.com/5107https://images.seebug.org/upload/uploadFlash.php 海尔电器 http://imv3.duba.net/5107https://images.seebug.org/upload/uploadFlash.php 金山毒霸 http://ncc2.sdrs.sdo.com/5107https://images.seebug.org/upload/uploadFlash.php 盛大在线 http://csol.dcfund.com.cn/5107https://images.seebug.org/upload/uploadFlash.php 大成基金 http://service.srcb.com/5107https://images.seebug.org/upload/uploadFlash.php 上海农商银行