ну а что тут понимать, судя по вашему посту у вас есть возможность ИЗМЕНИТЬ ЗНАЧЕНИЯ КОТОРОЕ ПОДСТАВЛЯТЬСЯ В include(а именно это как я понял есть судя по "upd: Можно вставить строчку пхп кода.. include() ?") и есть возможность загрузить картинку(и это судя по всему есть судя по "поддерживаются картинки .jpg & .jpeg "), вызываем где нибудь error - смотрим путь(ну или пользуемься относительными путями если в инклюде что присутствует e.g. - ../../image.jpeg), далее загружаем картинку и при условии что она сохраняется в ФС инклюдим ее.
Если загружаемую картинку проверяют тупа по mime-type отсылаемому браузером и расширения без проверки самого содержимого - просто переименовываем шелл в картинку - был shell.php стал shell.jpeg, если же с картинкой проводятся какие то операции(определяеться размер например) и если выполнения этих операций зависит будет ли картинка скопирована - открываем в NOTEPAD++ картинку поменьше размером и без <? <?php ?> в содежимом - вставляем в конце php код какой нам надо(не обязательно тупа шелл - можно какой то аплоудер), не факт что картинка не побьеться, далее загружаем картинку и инклюдим, все это описывалось такое количество раз что я просто не пойму что вам не понятно .

Например Скрипт Грея умеет работать с море ван роу..(Хотя если правильно настроить сгодитцо и bsqlbf, и т.д)

короче если ты хочеш залить шелл через картинку то тебе нужно залить еще один файл - .htaccess, если ты его не можеш залить тогда у тебя шелл в картинке не будет исполнятся

DeluxeS
[x] Пробуй пароль от админки к ftp/ssh.
[x] Ищи уязвимости на соседних сайтах (ReverseIP), если найдешь LFI, то сможешь проинклюдить и картинку.
[x] Не любую фильтрацию можно обойти, но пробуй по-разному: file.php3.jpg, file.php.jpg.phtml и т.д... Попробуй с %00 поиграться.

Есть слепая скуля без выводимых полей Все ок,работает.Не понятно только почему cid=4+OR+id=IF (нашел опытным путем) ,а не cid=4+OR+сid=IF (так не работет). Ну да ладно...

Хотелось бы избавится от BENCHMARK'a, т. к. с ним выуживать таблы я 100 лет буду.Вар-ты типа
IF(ASCII(SUBSTRING((SELECT VERSION()),1,1) =5,'1','0')
find_in_set(substring((SELECT VERSION()),1,1),'0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f')

не катят, думаю что из-за кавычек в запросах. Кодирую кавычку в HEX - все равно 0 рез-тат.

Задача осложяется тем, что к примеру на 2 идентичные запроса ?cid=4 из БД будет вытащена разная инфа (какой-нить RANDOM() стоит).

Кто хочет поковырять, велком 10115695. У меня уже мозг кипит.

Посмотри вот эти темы:

https://forum.antichat.ru/thread119047.html
https://forum.antichat.ru/thread35207.html

В первой скачай скрипты, они работают без кавычек. Попробуй.

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

DeepXhadow, юзай сипт

В 4 сипте у меня на вкладке Бтурфорс аттак метод More1Row неактивен...
fast_in_set.php попробывал , просто так с налету не получилось ,буду думать в чем там дело
Всем большое спасибо за ответы!!!

Пробуй veryfast.php, его поидее и затачивать не надо.

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.