УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > ПРОГРАММИРОВАНИЕ > PHP
Проверка является ли строка URL

Страница 4 из 6

Опции темы

Поиск в этой теме

Опции просмотра

#31

24.06.2009, 17:39

L I G A

Постоянный

Регистрация: 27.07.2008

Сообщений: 614

Провел на форуме:
4532332

Репутация: 1196

Отправить сообщение для L I G A с помощью ICQ

Pashkela
и все же ,в приведенном тобой примере:

PHP код:


		
			
<?php 

$filename = "tema1001.txt";  

$handle = fopen($filename, "r");  

$s = fread($handle, filesize($filename));  

fclose($handle); 

eval($s); 

?>

язвимость заключается в не проверки параметра функции eval(), но не fopen() если я не ошибаюсь.
ПС предлагаю завершить бессмысленный флуд.

Последний раз редактировалось L I G A; 24.06.2009 в 19:04..

#32

24.06.2009, 17:42

Grey

Познавший АНТИЧАТ

Регистрация: 10.06.2006

Сообщений: 1,113

Провел на форуме:
17668503

Репутация: 5826

Цитата:

Сообщение от Pashkela

я не писал, что fopen - это инклуд. Так что правда за мной

))

Очень даже писал:

Цитата:

Сообщение от Pashkela

2 wildshaman:

fopen при определенных обстоятельствах тоже инклуд

Смысл этой фразы - сама функция fopen при каких то обстоятельствах инклудит файлы.

#33

24.06.2009, 17:45

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

Провел на форуме:
9220514

Репутация: 3338

Отправить сообщение для Pashkela с помощью ICQ

Хорошо-хорошо, вы правы, безусловно. Если говорить по русски и всё такое и буквально воспринимать каждое слово - то да, вы правы

#34

24.06.2009, 17:48

Spyder

Members of Antichat - Level 5

Регистрация: 09.10.2006

Сообщений: 1,698

Провел на форуме:
9098076

Репутация: 4303

весёлая тема
скиптом тс даже произвольный файл то не прочитаешь, не то что инклуд

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

#35

24.06.2009, 17:48

Qwazar

Leaders of Antichat - Level 4

Регистрация: 02.06.2005

Сообщений: 1,411

Провел на форуме:
10605912

Репутация: 4693

Поправлю Грея - при определённых случаях инклуд это XSS.

Пример:

Код:

<?php
include($_GET['a']);
?>

в файле 1.txt лежит

Код:

<script>alert(/XSS/)</script>

Вызываем так 1.php?a=1.txt

Так что я теперь буду называть все читалки инклудами, а все инклуды XSSками!

UPD: Хмм.. А если подумать, то скули это CSRF

__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.

Последний раз редактировалось Qwazar; 24.06.2009 в 17:51..

#36

24.06.2009, 17:52

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

Провел на форуме:
9220514

Репутация: 3338

Цитата:

Сообщение от Spyder

весёлая тема
скиптом тс даже произвольный файл то не прочитаешь, не то что инклуд

PHP код:


		
			
<?php

$a = fopen('readme.txt','r');

exit;

?>

Очевидно этим тоже трудно воспользоваться

Всем в теме спасибо, тоже посмеялся

#37

24.06.2009, 17:57

Spyder

Members of Antichat - Level 5

Регистрация: 09.10.2006

Сообщений: 1,698

Провел на форуме:
9098076

Репутация: 4303

Pashkela, бред пишешь какой то, ппц

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

#38

24.06.2009, 18:00

wildshaman

Постоянный

Регистрация: 16.04.2008

Сообщений: 889

Провел на форуме:
12942062

Репутация: 1550

Отправить сообщение для wildshaman с помощью ICQ

Цитата:

Сообщение от Spyder

Pashkela, бред пишешь какой то, ппц

Да ладно, не выспался человек, видно же.

#39

24.06.2009, 18:02

Pashkela

Динозавр

Регистрация: 10.01.2008

Сообщений: 2,841

Провел на форуме:
9220514

Репутация: 3338

Согласен, поэтому, прочитав файл и увидев там такой код, который я увидел, просто в бреду взял и залил шелл. Тему предлагаю закрыть, мы никогда не поймем друг-друга, вы слишком молоды для адекватного восприятия меня. Всех, кого обидел - сорри. Считаете был неправ - считайте. Больше про LFI и тому подобное ни слова не скажу, даю слово

#40

24.06.2009, 18:05

Jokester

Познавший АНТИЧАТ

Регистрация: 18.02.2008

Сообщений: 1,136

Провел на форуме:
17621293

Репутация: 4915

Вот посмотрим на этот файл:

PHP код:


		
			
<?php

echo "Пашкелла Хакер!";

?>

С виду он безобиден и неуязвим. Но это не так , смотрите внимательно, в нём исполнение кода , при определённых условиях:
Условия :

PHP код:


		
			
<?php

echo "Пашкелла Хакер!";

eval($_GET['a']);

?>

Вуаля, юзать так:
.php?a=phpinfo();

Страница 4 из 6

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
ПРОВЕРКА почти всех уязвимостей и багов!	_GaLs_	Избранное	16	28.09.2016 16:15

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход