WooYun.org

if ($file->getFileSize("Filedata") > 0) {
$save_name = $req->get("save_name");
if ($save_name == null || $save_name == "")
$save_name = $file -> nameUnique('ph_');
$file_name = $file->getFileName("Filedata");
if ($file -> isUploadable($file_name))   //扩展名的验证，如果验证不过则扩展名定死为tmp。
$file_ext = $file->name2Ext($file_name);  //取出扩展名
else
$file_ext = 'tmp';
$save_name = uniqid(date('ymd_'));
$file_server = $file->file_Copy("Filedata", $savearea.$save_name.'.'.$file_ext);
}

function isUploadable($fileName) {
return !(rainUtil::find($this->forbidden_extension_patten, $fileName));
}
//这里涉及到forbidden_extension_patten，定义为：var $forbidden_extension_patten = '(html|htm|php|php3|cgi|phtml|shtml|jsp|asp|exe|com|dll)$';
再继续跟进find函数：
function find($patternStr, $str, $reg = Array()) {
return (ereg($patternStr,$str, $reg)) ? true:false;    //问题就在这里了，ereg函数是区分大小写的！只要我们提交的文件名的扩展名为pHp即可绕过此处验证。
}

$file_ext = $file->name2Ext($file_name);

function name2Ext($fileName) {
$tar_file_extension = "";
if ($fileName != "") {
if (ereg("\.([^\.]+)$", $fileName, $tmp_reg)) 
$tar_file_extension = substr(strtolower($tmp_reg[1]), 0, 4); //最终会将文件名中的扩展名转换成小写！！
else 
$tar_file_extension = "tmp";
} else 
$tar_file_extension = "";
return $tar_file_extension;
}