淺析DV007“電子書”重命名漏洞

    我們知道，DV007可以通過“電子書”來更改文件名，包括文件名和后綴名。那么我們可以做到：

    1.通過更改文件名來通過藍(lán)牙傳送任意文件
    2.實現(xiàn)更改文件名的其他作用。

    經(jīng)過本人的發(fā)現(xiàn)，這個漏洞越來越大：電子書這個程序會掃描兩個目錄，手機上的文檔中心/電子書 /mnt/doc/user_local/Doc_center/E-book
    TF卡上的                                                         /mnt/sd/Doc_center/E-book
    上面的兩個目錄經(jīng)過測試，是正確的目錄
  
    用記事本新建一個 aaa.txt 文本文件 (保存在手機上)，通過文件瀏覽器拷貝到電子書目錄

    然后修改文件名為：
    ../aaa.txt     
    你會在你的電子書目錄的上一層看到這個文件，當(dāng)然e-book目錄里面的這個文件不存在了。也就是說可以拷貝文件（手機內(nèi)存好像不能和TF卡上互拷）

    如果改成：
    ../../../../../mnt/doc/user_local/aaa.txt
    你會發(fā)現(xiàn)，該文件已經(jīng)轉(zhuǎn)移到了你的手機空間的根目錄和“圖片，聲音等等并存”

    看到了漏洞吧

    這樣順著這個了漏洞，我們可以通過這樣替換系統(tǒng)文件，把系統(tǒng)的幾個垃圾游戲的可執(zhí)行文件替換成term  shellrun等等。主要是目錄結(jié)構(gòu)一定要清楚，我也是職改清楚的部分結(jié)構(gòu)

  ../../../../../                  /
../../../../../mnt             /mnt
                                       /mnt/doc
                                       /mnt/doc/cec_local/data
                                       /mnt/doc/cec_local/data/jbed/
                                      /mnt/doc/cec_local/bin
                                      /mnt/cellon/cec
                                     /mnt/user/etc

                                      /mnt/doc/user_local
                                    
                                      / mnt/sd
                                             Audio- Video -photo  eg.
                                    
    可以配合文件管理來查看

    可以直接用  撥打 **9999# 進(jìn)入測試模式
    然后*#0003#  來調(diào)用ps進(jìn)程查看器
    然后得到部分目錄信息

    歡迎大家的嘗試破解，相信小七的命運不久即將改變