 |
|
11.12.2016, 23:57
|
|
Участник форума
Регистрация: 30.07.2011
Сообщений: 151
Провел на форуме:
54593
Репутация:
0
|
|
Все же непонятно.
Загружаю php через phpmyadmin, который в свою очередь передает параметры на страницу .php
но скрипт не выполняется, а просто не появляется на странице, только если открыть исходную страницу и найти весь этот скрипт целиком в исходнике.
|
|
|
12.12.2016, 00:07
|
|
Познающий
Регистрация: 13.10.2016
Сообщений: 33
Провел на форуме:
8589
Репутация:
0
|
|
там запрет php_flag engine 0 скорее всего
|
|
|
|
12.12.2016, 00:23
|
|
Участник форума
Регистрация: 30.07.2011
Сообщений: 151
Провел на форуме:
54593
Репутация:
0
|
|
Или то, что php код храниться в базе данных, а при выводе его на страницу сайта - он не исполняется обычными методами..тогда какими его можно исполнить, методом eval?
|
|
|
|
13.12.2016, 02:21
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Имеется XXE в перле - парсер: XML::Simple
Права не рутовые, но с высокой группой. Проблема заключается в том, что как только пытаюсь прочитать какой-нить файл, и в нем имеются символы типа <>, парсер меня шлет далеко и надолго(
В случае с php можно враппером конвертнуть файл в base64, но в перле увы не катит. Возможно, у перла есть какой-нить аналогичный враппер?
|
|
|
|
13.12.2016, 10:30
|
|
Познавший АНТИЧАТ
Регистрация: 31.03.2006
Сообщений: 1,167
Провел на форуме:
4072944
Репутация:
1550
|
|
|
|
|
|
13.12.2016, 11:33
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от Filipp
↑
Имеется XXE в перле - парсер: XML::Simple
Права не рутовые, но с высокой группой. Проблема заключается в том, что как только пытаюсь прочитать какой-нить файл, и в нем имеются символы типа <>, парсер меня шлет далеко и надолго(
В случае с php можно враппером конвертнуть файл в base64, но в перле увы не катит. Возможно, у перла есть какой-нить аналогичный враппер?
нет, враппера такого нет. стоит попробовать oob через ftp, http://lab.onsec.ru/2014/06/xxe-oob-...t-java-17.html
|
|
|
|
16.12.2016, 01:50
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Столкнулся с проблемой, парсер довольно древний, не поддерживает EXTERNAL ENTITY. Поднял у себя такое же окружение, даю ему такой xml:
Получаю ответ:
Код:
ex.xml:4: parser error : PEReference: %student; not found
%student;
^
ex.xml:6: parser error : Start tag expected, '
]>
&js;
В таком случае можно что-нибудь предпринять?
|
|
|
|
16.12.2016, 13:29
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от Filipp
↑
Столкнулся с проблемой, парсер довольно древний, не поддерживает EXTERNAL ENTITY. Поднял у себя такое же окружение, даю ему такой xml:
Получаю ответ:
Код:
ex.xml:4: parser error : PEReference: %student; not found
%student;
^
ex.xml:6: parser error : Start tag expected, '
]>
&js;
В таком случае можно что-нибудь предпринять?
ну а где у вас тег ?
|
|
|
|
16.12.2016, 13:52
|
|
Участник форума
Регистрация: 10.05.2015
Сообщений: 251
Провел на форуме:
98300
Репутация:
31
|
|
Это пример из документации. Я как только не пробовал, external entity отказывается обрабатывать. На парсере версии чуть повыше все пашет. Работает только если создать сущность и сослаться на нее в каком-нибудь теге
|
|
|
|
17.12.2016, 05:00
|
|
Познающий
Регистрация: 24.06.2012
Сообщений: 67
Провел на форуме:
25867
Репутация:
0
|
|
Используется следующее:
Код:
80/tcp open http Apache httpd 2.2.22 ((Ubuntu))
PHP/5.3.10-1ubuntu3.25
Использую CVE-2012-1823
> Exploit completed, but no session started.
Порты открыты, в чем проблема? |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
