ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
27.01.2012, 20:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
40748
Репутация:
78
|
|
Сообщение от Faaax
Faaax said:
подставляй http://msp.hut4.ru/r57shell.php или http://msp.hut4.ru/r57shell.txt?
Там и дураку должно быть понятно, что в данном случае allow_url_include=0, а нужен allow_url_include=1
|
|
|
|
27.01.2012, 20:38
|
|
Guest
Сообщений: n/a
Провел на форуме:
6075
Репутация:
0
|
|
Сообщение от Boolean
Boolean said:
Там и дураку должно быть понятно, что в данном случае allow_url_include=0, а нужен allow_url_include=1
У меня в .htaccess записано #php_flag allow_url_include on , ведь так должно быть ? А не работает . Даже не знаю что делать (
Делал и так :
Код HTML:
HTML:
+Q. SQL Injection wont work on PHP version 5.2.6.
-A.If you are using PHP version 5.2.6 you will need to do the following in order for SQL injection and other vulnerabilities to work.
In .htaccess:
Replace:
php_flag magic_quotes_gpc off
#php_flag allow_url_fopen on
#php_flag allow_url_include on
With:
magic_quotes_gpc = Off
allow_url_fopen = On
allow_url_include = On
Тоже не помогает.
|
|
|
|
27.01.2012, 23:08
|
|
Guest
Сообщений: n/a
Провел на форуме:
90728
Репутация:
62
|
|
Сообщение от NZT
NZT said:
а что дальше происходит с $file? или это весь код?
|
|
|
|
27.01.2012, 23:14
|
|
Guest
Сообщений: n/a
Провел на форуме:
6075
Репутация:
0
|
|
Сообщение от Чакэ
Чакэ said:
а что дальше происходит с $file? или это весь код?
Это весь код , и этот код лежит в папке fi/source/low.php а просто в папке fi лежит index.php и в нем длиный скрипт и внизу написано include($file); , может одно дополняет другое, я в php не очень силен )
В Mutillidae у меня таже фигня не хочет открываться шелл. Я наверное что то не так сделал но не могу понять что.
Если кому не лень скачать себе DVWA и проверить если у него таже фигня ? )
|
|
|
|
28.01.2012, 00:54
|
|
Guest
Сообщений: n/a
Провел на форуме:
90728
Репутация:
62
|
|
Сообщение от NZT
NZT said:
У меня в .htaccess записано #php_flag allow_url_include on , ведь так должно быть ? А не работает . Даже не знаю что делать (
Делал и так :
Код HTML:
HTML:
+Q. SQL Injection wont work on PHP version 5.2.6.
-A.If you are using PHP version 5.2.6 you will need to do the following in order for SQL injection and other vulnerabilities to work.
In .htaccess:
Replace:
php_flag magic_quotes_gpc off
#php_flag allow_url_fopen on
#php_flag allow_url_include on
With:
magic_quotes_gpc = Off
allow_url_fopen = On
allow_url_include = On
Тоже не помогает. # перед строкой означает начало комментария, то есть твои два правила не действуют. не всегда срабатывает включение в .htaccess и нужно править основной php.ini сервера.
|
|
|
|
28.01.2012, 01:11
|
|
Guest
Сообщений: n/a
Провел на форуме:
6075
Репутация:
0
|
|
в php.ini записано allow_url_include on.
У меня в двух сайтах для тренировок не получается.
Наверное я что то не так делаю, может сервер на котором у меня шелл не тот ? сервер - holm.ru
Но там же ничего сложного нет просто после = пишешь адресс к шеллу без расширения и все?
Если я пишу mysite.ru/shell.php то шелл открывается , значит шелл нормальный.
Я все делаю как я описал выше, в чем может быть проблема? Мне вместо шелла выдаются ошибки. Кто то у себя на DVWA пробовал ? работает?
|
|
|
|
28.01.2012, 01:37
|
|
Guest
Сообщений: n/a
Провел на форуме:
90728
Репутация:
62
|
|
тот php.ini что в папке у тебя не действует из-за того что у «главного» php.ini эти флаги стоят в off, а для вебсервера «главный» приоритетней твоего. это лишь моя теория, может быть дело совсем в другом..
|
|
|
|
28.01.2012, 01:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
6075
Репутация:
0
|
|
Думаю ты прав потому что в файле php про который я говорил не написано после php точка ini и тип у него "парметры конфигурации" и в нем записано ; This file attempts to overwrite the original php.ini file. Doesnt always work. Дело в том что я не нашел другого php.ini , как я посмотрел там его просто нет. Не подскажешь случайно где его найти или надо свой создать? И если создавать то что в него вписать надо?
Извеняюсь за столько вопросов , если засоряю тему , просто очень хочеться чтобы у меня получилась php injection. Спасибо за ответы.
|
|
|
|
28.01.2012, 02:08
|
|
Guest
Сообщений: n/a
Провел на форуме:
29020
Репутация:
55
|
|
Чакэ, вообще должно быть наоборот) иначе просто незачем было бы вводить эти дериктивы в .htaccess если php.ini все равно делает по своему.
NZT, у тебя не получается просто потому что ты делаешь не правильно. Ты пытаешься заинклудить http://msp.hut4.ru/r57shell а его у тебя на хостинге нет, даже если будешь вводить http://msp.hut4.ru/r57shell.php то тоже ничего не получится, ибо отдать тебе будет не сам php код шела а уже сгенерированный html. Тут выше уже писали, http://msp.hut4.ru/r57shell.txt должен прокатить, только предварительно залей этот файл.
|
|
|
|
28.01.2012, 02:23
|
|
Guest
Сообщений: n/a
Провел на форуме:
6075
Репутация:
0
|
|
C .txt? тоже ничего не получается. Я залил shell.php и shell.txt в папку www, туда их надо заливать? И почему shell.php не будет работать , вот зайди http://msp.hut4.ru/r57shell.php или http://msp.hut4.ru/r57shell.txt , все работает , или то что мне показывает это сгенерированый html? Я скорее всего не правильно заливаю на сервер как ты говоришь. Я заливаю через total commander в папку www сайта. А как надо? И спасибо тебе за желание помочь.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
