### 简要描述:
过滤不严。
### 详细说明:
在qibob2b/hy/member/homepage_ctrl/pic_upload_save.php中
```
$array[name]=is_array($postfile)?$_FILES[postfile][name]:$postfile_name;
$title=$title?$title:$array[name];
$myname_str=explode(".",strtolower($array[name]));
$myname=$myname_str[(count($myname_str)-1)];
if(!in_array($myname,array('gif','jpg'))) $msg="{$array[name]}图片只能是gif或者jpg的格式";
$array[path]="$webdb[updir]/homepage/pic/".ceil($uid/1000)."/$uid";//商家图片另存
$array[size]=is_array($postfile)?$_FILES[postfile][size]:$postfile_size;
$webdb[company_uploadsize_max]=$webdb[company_uploadsize_max]?$webdb[company_uploadsize_max]:100;
//if($array[size]>$webdb[company_uploadsize_max]*1024) $msg="{$array[name]}图片超过最大{$webdb[company_uploadsize_max]}K限制";
if($msg==''){
$picurl=upfile(is_array($postfile)?$_FILES[postfile][tmp_name]:$postfile,$array);
//供应或求购生成缩略图
if($picurl){
$Newpicpath=ROOT_PATH."$array[path]/{$picurl}.gif";
gdpic(ROOT_PATH."$array[path]/$picurl",$Newpicpath,120,120);
if(!file_exists($Newpicpath)){
copy(ROOT_PATH."$array[path]/{$picurl}",$Newpicpath);
}
$picurl="homepage/pic/".ceil($uid/1000)."/$uid/$picurl";
$msg="{$array[name]}上传成功";
$title=get_word($title,32);
$db->query("INSERT INTO `{$_pre}pic` ( `pid` , `psid` , `uid` , `username` , `title` , `url` , `level` , `yz` , `posttime` , `isfm` , `orderlist` ) VALUES ('', '$psid', '$uid', '$lfjid', '$title', '$picurl', '0', '{$webdb[auto_us
```
跟之前发的黄页系统那注入差不多。
$_FILES的不会被转义 造成了注入。
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201406/22165655e8b044aa0e6da3c361f827c5b40a3747.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/22165655e8b044aa0e6da3c361f827c5b40a3747.jpg)
构造下 1',user(),1,1,1,1)#.jpg
[<img src="https://images.seebug.org/upload/201406/22165745678c82be90591204c61009c5b3f3b12f.jpg" alt="q2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/22165745678c82be90591204c61009c5b3f3b12f.jpg)
出数据。
京公网安备 11010502034610号
暂无评论