EasyTalk 微博本地文件包含漏洞

发布日期：2011-01.29
发布作者：sw0rder

影响版本：EasyTalk 
官方网站：http://www.9italk.com/

漏洞类型：文件包含
漏洞描述：
漏洞文件在“wap/index.php”,关键代码如下：

<?php error_reporting(7);  define('IN_ET', TRUE);  include('../include/etfunctions.func.php');  include('../include/db_mysql.class.php');  include('../config.inc.php');  $db = new dbstuff;  $db->connect($server,$db_username,$db_password,$db_name, $pconnect,true);  @mysql_query("set names utf8");  include('include/global.func.php')  $op=$_GET['op']?$_GET['op']:"index"; /*Get方式获取op值并没有过滤直接放入op by:sw0rder*/  $addtime=time();  $action=$_POST['action'];  $act=$_GET['act'];  $page=$_GET['page']?$_GET['page']:1;   /*往下看*/  if (!$user['user_id']) $head="EasyTalk微博客 随时随地";  else $head="欢迎您，".$user['nickname'];  if (!$user['user_id'] && $op=="index") $op="login";   include_once('a/'.$op.'.inc.php'); /*这里包含，需截断 by:sw0rder*/   

具体利用：

新建一个账户，在首页写话题处上传捆后的图片，这里传后可以显示出文件名，在服务器中会出现两个图片，一个源图片，一个处理过的。

且已自身 id 为目录命名(id 可从右上方看到），那么图片路径就是：attachments/photo/user_id/图片名.jpg。

 

测试：

http://127.0.0.1/easytalk/wap/in ... ents/photo/user_id/图片.jpg%00.

另外,关于截断方面可以用较多的/来试试 有时候会有效果,php版本别太新否则截断会无效的hoho

 

标签分类：