Форум АНТИЧАТ - Показать сообщение отдельно - Энциклопедия уязвимых скриптов

Fapos CMS 1.3 RC3

Fapos CMS 1.3 RC3

Forum Module 1.5.3.7

Dork: Сайт управляется Бесплатной CMS Fapos

File Upload в модуле Forum [\modules\forum\index.php].

При добавлении новой темы:

Код:

Code:
private $denyExtentions = array('.php', '.phtml', '.php3', '.html', '.htm', '.pl', '.PHP', '.PHTML', '.PHP3', '.HTML', '.HTM', '.PL', '.js', '.JS'); 

                         if (!empty($_FILES[$attach_name]['name'])) {  
                                 // Извлекаем из имени файла расширение  
                                 $ext = strrchr($_FILES[$attach_name]['name'], ".");  
                                 // Формируем путь к файлу  
                                 if (in_array( $ext, $extentions))  
                                         $file = $post_id . '-' . $i . '-' . date("YmdHi") . '.txt';  
                                 else  
                                         $file = $post_id . '-' . $i . '-' . date("YmdHi") . $ext;  
                                 $is_image = (in_array($ext, $img_extentions)) ? 1 : 0;  
                                 // Перемещаем файл из временной директории сервера в директорию files  
                                 if (move_uploaded_file($_FILES[$attach_name]['tmp_name'], R . 'sys/files/forum/' . $file)) {  
                                         chmod(R . 'sys/files/forum/' . $file, 0644);

При добавлении нового поста прикрепленным файлом:

Код:

Code:
private $denyExtentions = array('.php', '.phtml', '.php3', '.html', '.htm', '.pl', '.PHP', '.PHTML', '.PHP3', '.HTML', '.HTM', '.PL', '.js', '.JS')

                                 if (!empty($_FILES[$attach_name]['name'])) {  
                                         // Извлекаем из имени файла расширение  
                                         $ext = strrchr($_FILES[$attach_name]['name'], ".");  
                                         // Формируем путь к файлу  
                                         if (in_array( $ext, $extentions) || empty($ext)) {  
                                                 $file = $post_id . '-' . $i . '-' . date("YmdHi") . '.txt';  
                                         } else {  
                                                 $file = $post_id . '-' . $i . '-' . date("YmdHi") . $ext;  
                                         }          
                                         $is_image = 0;  
                                         if ($_FILES[$attach_name]['type'] == 'image/jpeg'  
                                         || $_FILES[$attach_name]['type'] == 'image/jpg'  
                                         || $_FILES[$attach_name]['type'] == 'image/gif'  
                                         || $_FILES[$attach_name]['type'] == 'image/png') {  
                                                 $is_image = 1;  
                                         }  
   
                                         // Перемещаем файл из временной директории сервера в директорию files  
                                         if (move_uploaded_file($_FILES[$attach_name]['tmp_name'], R . 'sys/files/forum/' . $file)) {  
                                                 chmod(R . 'sys/files/forum/' . $file, 0644);

После загрузки шелл будет:

Код:

Code:
[target]/sys/files/forum/$post_id-$i-date("YmdHi").pHp [Имя файла можно посмотреть в созданном вами посте]

Еще забавная штука: если разрешено оставлять комментарии юзеру с правами "Гость", можно комментировать от любого имени (даже админского =)).