duanp 
3533手機世界 
2008-4-16 我們知道,DV007可以通過“電子書”來更改文件名,包括文件名和后綴名。那么我們可以做到:
1.通過更改文件名來通過藍牙傳送任意文件
2.實現(xiàn)更改文件名的其他作用。
經(jīng)過本人的發(fā)現(xiàn),這個漏洞越來越大:電子書這個程序會掃描兩個目錄,手機上的文檔中心/電子書 /mnt/doc/user_local/Doc_center/E-book
TF卡上的 /mnt/sd/Doc_center/E-book
上面的兩個目錄經(jīng)過測試,是正確的目錄
用記事本新建一個 aaa.txt 文本文件 (保存在手機上),通過文件瀏覽器拷貝到電子書目錄
然后修改文件名為:
../aaa.txt
你會在你的電子書目錄的上一層看到這個文件,當然e-book目錄里面的這個文件不存在了。也就是說可以拷貝文件(手機內(nèi)存好像不能和TF卡上互拷)
如果改成:
../../../../../mnt/doc/user_local/aaa.txt
你會發(fā)現(xiàn),該文件已經(jīng)轉(zhuǎn)移到了你的手機空間的根目錄和“圖片,聲音等等并存”
看到了漏洞吧
這樣順著這個了漏洞,我們可以通過這樣替換系統(tǒng)文件,把系統(tǒng)的幾個垃圾游戲的可執(zhí)行文件替換成term shellrun等等。主要是目錄結(jié)構(gòu)一定要清楚,我也是職改清楚的部分結(jié)構(gòu)
../../../../../ /
../../../../../mnt /mnt
/mnt/doc
/mnt/doc/cec_local/data
/mnt/doc/cec_local/data/jbed/
/mnt/doc/cec_local/bin
/mnt/cellon/cec
/mnt/user/etc
/mnt/doc/user_local
/ mnt/sd
Audio- Video -photo eg.
可以配合文件管理來查看
可以直接用 撥打 **9999# 進入測試模式
然后*#0003# 來調(diào)用ps進程查看器
然后得到部分目錄信息
歡迎大家的嘗試破解,相信小七的命運不久即將改變
