漏洞名称:EasyTalk 微博系统本地文件包含漏洞

    漏洞作者:sw0rder

漏洞文件在“wap/index.php”,关键代码如下:

<?php
error_reporting(7);
define('IN_ET', TRUE);
include('../include/etfunctions.func.php');
include('../include/db_mysql.class.php');
include('../config.inc.php');
$db = new dbstuff;
$db->connect($server,$db_username,$db_password,$db_name, $pconnect,true);
@mysql_query("set names utf8");
include('include/global.func.php')
$op=$_GET['op']?$_GET['op']:"index"; /*Get方式获取op值并没有过滤直接放入op by:sw0rder*/
$addtime=time();
$action=$_POST['action'];
$act=$_GET['act'];
$page=$_GET['page']?$_GET['page']:1;

/*往下看*/
if (!$user['user_id']) $head="EasyTalk微博客 随时随地";
else $head="欢迎您,".$user['nickname'];
if (!$user['user_id'] && $op=="index") $op="login";
include_once('a/'.$op.'.inc.php'); /*这里包含,需截断 by:sw0rder*/

    具体利用:

    新建一个账户,在首页写话题处上传捆后的图片,这里传后可以显示出文件名,在服务器中会出现两个图片,一个源图片,一个处理过的。

    且已自身 id 为目录命名(id 可从右上方看到),那么图片路径就是:attachments/photo/user_id/图片名.jpg。

    漏洞测试:

        http://127.0.0.1/easytalk/wap/in ... ents/photo/user_id/图片.jpg%00.

    另外,关于截断方面可以用较多的“/”来试试,有时候会有效果,php 版本别太新,否则截断会无效的。