Тема: DNBSTEP international
Показать сообщение отдельно

  #3  
Старый 20.05.2010, 04:30
Kamik
Флудер
Регистрация: 02.12.2008
Сообщений: 4,294,967,295
Провел на форуме:
689466

Репутация: 155


Отправить сообщение для Kamik с помощью ICQ
По умолчанию
я зарегил тестовый акк.

логин\пароль = antichat


1. раскрытие пути

Добавляем в значение сессии в кукисах спец символы ("№%;"%№;") и обновляемся. получаем

Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /home/[ПУТЬ]/index.php on line 4

2 Не уязвимость, но всеже - раскрытие содержимого каталога
http://www.dnbstep.org/images/404/
http://www.dnbstep.org/inc/js
http://www.dnbstep.org/templates/basic/ - здесь некоторые исходные коды
http://www.dnbstep.org/inc/plugins - список плагинов

3 Опять раскрытие
http://www.dnbstep.org/inc/plugins/simple_IM/chat.php

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'root'@'localhost' (using password: NO) in /home/[ПУТЬ]/chat.php on line 30

Warning: mysql_selectdb(): supplied argument is not a valid MySQL-Link resource in /home/[ПУТЬ]/chat.php on line 31

http://www.dnbstep.org/template_lite/src/class.compiler.php

Fatal error: Class 'Template_Lite' not found in /home/[ПУТЬ]/class.compiler.php on line 27

http://www.dnbstep.org/template_lite/src/internal/template.config_loader.php

Fatal error: Using $this when not in object context in /home/[ПУТЬ]/template.config_loader.php on line 9


ЗЫ Все кароч, я заколебался искать, оставим чтонить для будующих поколений =)

ТС, отпишись!
Последний раз редактировалось Kamik; 20.05.2010 в 05:00..