ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ_OLD > Уязвимости
Перезагрузить страницу Coppermine Photo Gallery
   
 
 
Опции темы Поиск в этой теме Опции просмотра

Coppermine Photo Gallery
  #1  
Старый 25.06.2006, 15:24
Shephard
Новичок
Регистрация: 24.06.2006
Сообщений: 10
Провел на форуме:
46228

Репутация: 0
Question Coppermine Photo Gallery
вот такая бяка выскочила, когда попытался проверить phpinfo:
Template error
Failed to find block 'log_ecards'(#(<!-- BEGIN log_ecards -->)(.*?)(<!-- END log_ecards -->)#s) in :

<div align="center">
<table cellpadding="0" cellspacing="1">
<tr>

<td class="admin_menu"><a href="admin.php" title="{ADMIN_TITLE}">{ADMIN_LNK}</a></td>
<td class="admin_menu"><a href="catmgr.php" title="{CATEGORIES_TITLE}">{CATEGORIES_LNK}</a></td>
<td class="admin_menu"><a href="albmgr.php{CATL}" title="{ALBUMS_TITLE}">{ALBUMS_LNK}</a></td>
<td class="admin_menu"><a href="groupmgr.php" title="{GROUPS_TITLE}">{GROUPS_LNK}</a></td>
<td class="admin_menu"><a href="usermgr.php" title="{USERS_TITLE}">{USERS_LNK}</a></td>
<td class="admin_menu"><a href="banning.php" title="{BAN_TITLE}">{BAN_LNK}</a></td>
<td class="admin_menu"><a href="reviewcom.php" title="{COMMENTS_TITLE}">{COMMENTS_LNK}</a></td>

<td class="admin_menu"><a href="picmgr.php" title="{PICTURES_TITLE}">{PICTURES_LNK}</a></td>
<td class="admin_menu"><a href="searchnew.php" title="{SEARCHNEW_TITLE}">{SEARCHNEW_LNK}</a></td>
<td class="admin_menu"><a href="util.php" title="{UTIL_TITLE}">{UTIL_LNK}</a></td>
<td class="admin_menu"><a href="profile.php?op=edit_profile" title="{MY_PROF_TITLE}">{MY_PROF_LNK}</a></td>
<!-- BEGIN documentation -->
<td class="admin_menu"><a href="{DOCUMENTATION_HREF}" title="{DOCUMENTATION_TITLE}" target="cpg_documentation">{DOCUMENTATION_LNK}</a></td>
<!-- END documentation -->
</tr>
</table>
</div>


сам сайт: http://www.kjtg.ee/album
и запрос к нему http://www.kjtg.ee/album/thumbnails.php?phpinfo

получается такое только с thumbnails.php

с другими РНР файлами ничего не происходит, ошибка не выдаётся.

Я человек в PHP новый, поэтому прошу сильно не материть, за, возможно, недоходчивое изложение. Хотелось бы узнать у спецов, что означает та ошибка в плане возможности какой-либо PHP-иньекции и/или завладения root'ом Цель - необходимо удалить из этой галлереи несколько фотографий (дело очень личного характера). Просьба помочь теоретически.
Заранее благодарен.
Последний раз редактировалось Shephard; 25.06.2006 в 15:28..
 

  #2  
Старый 25.06.2006, 15:37
Rebz
Super Moderator
Регистрация: 08.11.2004
Сообщений: 3,395
Провел на форуме:
13166814

Репутация: 3876


По умолчанию
причем здесь phpinfo?

_http://www.kjtg.ee/album/thumbnails.php
вот по этой ссылке и возникает данное сообщение.

теретическая помощь: попробуй сам обнаружить уязвимости в данном продукте. то что ты получил - это даже багой нельзя назвать. Поищи в багтраках, может сплоит какой найдешь для Coppermine Photo Gallery
 

  #3  
Старый 25.06.2006, 16:03
Shephard
Новичок
Регистрация: 24.06.2006
Сообщений: 10
Провел на форуме:
46228

Репутация: 0
По умолчанию
Rebz
спасибо за разьяснение. да, действительно, ошибка выдаётся и без рнр инфо.
А вообще в таких ситуациях будет ли полезным проанализировать файлы PHP, находящиеся на сервере? И если да, то есть ли утилиты, сливающие PHP с сервера на хард?
 

  #4  
Старый 25.06.2006, 16:08
Rebz
Super Moderator
Регистрация: 08.11.2004
Сообщений: 3,395
Провел на форуме:
13166814

Репутация: 3876


По умолчанию
для этого и существуют бесплатные движки или там фотогаллереи. Что же тебе мешает скачать исходники Coppermine Photo Gallery?). Как раз так багоискатели и находят уязвимости в бесплатных продуктах - изучают исходники). С сервера напрямую никак не скачать файлы.. это не html или JS =)
 

  #5  
Старый 25.06.2006, 16:19
Shephard
Новичок
Регистрация: 24.06.2006
Сообщений: 10
Провел на форуме:
46228

Репутация: 0
По умолчанию
Ок, хорошо. Скажи(те), а реально ли и стоит ли этим вообще заниматься - брутить пароль доступа к фотогаллерее.
Отсюда http://www.kjtg.ee/album/profile.php?uid=1 стало изветсно, что в системе только один юзер - vitali. Он же root. Есть смысл брутать?
 

  #6  
Старый 25.06.2006, 16:30
Rebz
Super Moderator
Регистрация: 08.11.2004
Сообщений: 3,395
Провел на форуме:
13166814

Репутация: 3876


По умолчанию
пробуй. попытка не пытка, как говорил Берия =).
 
 



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ