 |
|
01.06.2010, 14:55
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
ребят в админке есть место для загрузки картинок,стоит фильтр,не могу загрузить php файл.. переименовал файл в php.jpg ,файл загрузилось,но не интерпретируется..
есть еще методы обхода фильтрации?
|
|
|
01.06.2010, 15:08
|
|
Участник форума
Регистрация: 26.07.2008
Сообщений: 267
С нами:
9364549
Репутация:
184
|
|
Сообщение от Konqi
ребят в админке есть место для загрузки картинок,стоит фильтр,не могу загрузить php файл.. переименовал файл в php.jpg ,файл загрузилось,но не интерпретируется..
есть еще методы обхода фильтрации?
а это был метод обхода?
как фильтруется? белый список или черный? если второе, то .php3 попробуй.
|
|
|
|
01.06.2010, 15:12
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Сообщение от Konqi
ребят в админке есть место для загрузки картинок,стоит фильтр,не могу загрузить php файл.. переименовал файл в php.jpg ,файл загрузилось,но не интерпретируется..
есть еще методы обхода фильтрации?
У меня возле дома стоит автомат по приёму платежей. Он принимает купюры и монеты.
Я попробывал засунуть туда рулон туалетной бумаги с написанной на ней цифрой 1000 - не сработало. В монетоприёмник засовывал жетоны на метро - не катит, а крышка от колодца туда не полезла 
Можно как-то обойти проверку?
|
|
|
|
01.06.2010, 15:18
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
Сообщение от Jokester
У меня возле дома стоит автомат по приёму платежей. Он принимает купюры и монеты.
Я попробывал засунуть туда рулон туалетной бумаги с написанной на ней цифрой 1000 - не сработало. В монетоприёмник засовывал жетоны на метро - не катит, а крышка от колодца туда не полезла
Можно как-то обойти проверку? вообще то так можно обойти фильтрацию (php.jpg) 
если хочешь могу отправить в личку
|
|
|
|
01.06.2010, 15:21
|
|
Участник форума
Регистрация: 14.01.2009
Сообщений: 257
С нами:
9116712
Репутация:
688
|
|
Сообщение от Jokester
У меня возле дома стоит автомат по приёму платежей. Он принимает купюры и монеты.
Я попробывал засунуть туда рулон туалетной бумаги с написанной на ней цифрой 1000 - не сработало. В монетоприёмник засовывал жетоны на метро - не катит, а крышка от колодца туда не полезла
Можно как-то обойти проверку? Если попробовать порезать тысячу на пополам и аккуратно приклеить к двум рулочикам туалетной бумаги может прокатит, и получиться две тысячи. А с жетонами - попробуй им бока подпилить об бордюр , мы так еще в детстве делали, когда автомат принимал 5 рублёвки а мы в него запихивали 50 копеечные ( или рублёвые, не помню ) старые со спиленными боками и принимал. Попробуй, если не получиться, то пиши, придумаем еще что-нибудь 
|
|
|
|
01.06.2010, 15:22
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Сообщение от Konqi
Jokester вообще то так можно обойти фильтрацию (php.jpg)
если хочешь могу отправить в личку
Спасибо, я пожалуй воздержусь от такого зрелища.
Всё зависит от кода и настроек сервака. Да, если админ конченный кретин и у него не зарегистрировано jpg это прокатит, но я таких не видел.
А при тех условиях что ты дал можно гадать бесконечно и может прокатить любой вариант или не прокатить не один при нормальной реализации проверки
|
|
|
|
01.06.2010, 15:26
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
Сообщение от Jokester
Спасибо, я пожалуй воздержусь от такого зрелища.
Всё зависит от кода и настроек сервака. Да, если админ конченный кретин и у него не зарегистрировано jpg это прокатит, но я таких не видел.
А при тех условиях что ты дал можно гадать бесконечно и может прокатить любой вариант или не прокатить не один при нормальной реализации проверки
Я был бы очень рад, если бы ты дал мне совет по этому поводу
|
|
|
|
01.06.2010, 15:31
|
|
Постоянный
Регистрация: 09.07.2006
Сообщений: 553
С нами:
10441826
Репутация:
1861
|
|
Сообщение от Konqi
Jokester вообще то так можно обойти фильтрацию (php.jpg)
если хочешь могу отправить в личку
где то я это уже видел ))))
Попробуй .htaccess, подмену mime-types, .php.ggif, shell.jpg.php
льешь хтацесс с таким содержимым:
<Files "shell.jpg">
RemoveHandler .jpg
AddType application/x-httpd-php .jpg
</Files>
и вслед shell.jpg
Последний раз редактировалось Iceangel_; 01.06.2010 в 15:45..
|
|
|
|
01.06.2010, 15:36
|
|
Постоянный
Регистрация: 24.06.2009
Сообщений: 542
С нами:
8885780
Репутация:
672
|
|
Сообщение от Iceangel_
где то я это уже видел ))))
Попробуй .htaccess, подмену mime-types, .php.ggif, shell.jpg.php
спасибо за отзыв, не понял только одно ,какую роль здесь может играть htaccess?
|
|
|
|
01.06.2010, 15:38
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
С нами:
9593606
Репутация:
4915
|
|
Сообщение от Konqi
Я был бы очень рад, если бы ты дал мне совет по этому поводу А я был-бы очень рад, если-бы тут не задавали глупых вопросов, а сначала думали.
Наверное проверка на расширение для того и сделана, что-бы не возможно было залить то, что нельзя. Или её по Вашему для чего делают?
Да, если это делал криворукий кодер, то ВОЗМОЖНО! варианты есть, но без кода можно гадать бесконечно долго.
Вот материал, рекоммендую ознакомится
http://habrahabr.ru/blogs/php/44610/
|
|
|
|
|
|
|
|
Здесь присутствуют: 3 (пользователей: 0 , гостей: 3)
|
|
|
|
Похожие темы
Линейный вид
