By:心灵

    为了响应oldjun的号召。。发点小洞........呵呵..给位给力吧。荣誉会员等着你。。话说毅心毅意美眉还不给力啊。珍藏这么多0day干嘛啊。来t00ls了都没看到你发漏洞.没来之前看了你很多漏洞..很崇拜..呵呵

    这个漏洞蛮有趣的...

user.php (用户操作):

   function oneditimg() { //修改头像  
        if (isset($_FILES["Filedata"])) {  
            $upload_tmp_path = "data/tmp/";  
            $fileName = 'bigavatar' . $this->user['uid'] . '.' . substr($_FILES["Filedata"]['name'], -3);  
            move_uploaded_file($_FILES["Filedata"]["tmp_name"], $upload_tmp_path . $fileName);  
            //这个够直接了.........  
            $img = getimagesize($upload_tmp_path . $fileName);  
            $imginfo = array();  
            $imginfo['src'] = SITE_URL . $upload_tmp_path . $fileName . '?' . time();  
            $imginfo['w'] = $img[0];  
            $imginfo['h'] = $img[1];  
            $imginfo['ext'] = $img[2];  
            echo json_encode($imginfo);  
            //还告诉你上传后路径。。。。。  
        } else {  
            if ($this->setting["ucenter_open"]) {  
                $this->load('ucenter');  
                $imgstr = $_ENV['ucenter']->set_avatar($this->user['uid']);  
            }  
            include template("editimg");  
        }  
    }

    一切来得很直接。。

    直接上传到data/tmp/bigavatar X .php 后缀都不用去看了

    t00ls首发...转载请注明t00ls..谢谢