ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
20.04.2009, 17:33
|
|
Новичок
Регистрация: 16.03.2009
Сообщений: 24
Провел на форуме:
62919
Репутация:
2
|
|
у меня такой вопрос .
php-инклудинг позволяет просматривать файлы,
а сами php-скрипты просматривать можно с помощью этого же инклуда ?
я пробовал , скрипты просто выполняются, т.е. контент посмотреть нельзя
|
|
|
20.04.2009, 17:37
|
|
Постоянный
Регистрация: 28.09.2007
Сообщений: 820
Провел на форуме:
6722038
Репутация:
1385
|
|
ну значит файлы просто инклудяться в скрипт .. include($_POST[file]);
а файлы не являющиеся исполняемым пхп кодом воспринемаються как текст и просто выводяться на экран ..
поэтому попробуй проинклудить внешний код, если урлы разрешены, получишь шелл.. ну а если нет, попробуй записать в логи шелл .. ну или если можно аплоадить на хост файлы, допиши шелл в картинку или ещё чтонить ..
|
|
|
|
20.04.2009, 17:37
|
|
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
Провел на форуме:
11338585
Репутация:
441
|
|
Сообщение от FarIZ
у меня такой вопрос .
php-инклудинг позволяет просматривать файлы,
а сами php-скрипты просматривать можно с помощью этого же инклуда ?
я пробовал , скрипты просто выполняются, т.е. контент посмотреть нельзя
Если выполняется..значит нельзя.
|
|
|
|
20.04.2009, 17:38
|
|
Познающий
Регистрация: 04.01.2009
Сообщений: 94
Провел на форуме:
404716
Репутация:
145
|
|
Скрипты выполняются потому что расширение *.php
если приперло так,
то раз есть пхп инклуд попробуй залить шелл и т.д. в нужном направлении
\\сорри, что повторился
пока писал уже два поста появилось)
|
|
|
|
20.04.2009, 17:45
|
|
Познавший АНТИЧАТ
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
Сообщение от --StraNger--
Скрипты выполняются потому что расширение *.php
Серьёзно? Тоесть при инклуде играет роль расширение?
Дружище попрошу больше охинею не писать
|
|
|
|
20.04.2009, 17:45
|
|
Постоянный
Регистрация: 29.09.2008
Сообщений: 553
Провел на форуме:
2584134
Репутация:
519
|
|
Сообщение от FarIZ
у меня такой вопрос .
php-инклудинг позволяет просматривать файлы,
а сами php-скрипты просматривать можно с помощью этого же инклуда ?
я пробовал , скрипты просто выполняются, т.е. контент посмотреть нельзя
Можно, но не всегда
Пример когда можно:
http://www.agata.org.br/show_file.php?file=index.php
|
|
|
|
20.04.2009, 17:46
|
|
Постоянный
Регистрация: 05.12.2006
Сообщений: 477
Провел на форуме:
11338585
Репутация:
441
|
|
Сообщение от Yosch23
Всем привет. Помогите кто чем может) Вообщем на одном сайте хотел попробовать инъекцию, после =123 поставил ' и текст который просто без ' исчез. Пробовал union select дошёл до 50 подумал может вообще ничего и не выйдет, короче ребят это бе3толковое дело если на ' или там ; ну и прочие символы вместо ошибки ничего не появляеться это можно даже не стараться подбирать количество строк? или как(( вообщем ребят помогите пожалуйста что делать та(
Если ты поставил кавычку ..и текст исчез ..это не значит что в этом параметре есть иньекция….и поэтому перебирать в слепую да ещё и union select не имеет смысла.
Кавычка ..Как правило вызывает ошибку mysql…Если ошибка есть..считай у тебя скуля…И даже если ошибки нету..это не значит что там нету инъекции…Нужно проверять и дальше.
Вообщем читай стати по Инъекциям..Юзай поиск
|
|
|
|
20.04.2009, 17:50
|
|
Динозавр
Регистрация: 10.01.2008
Сообщений: 2,841
Провел на форуме:
9220514
Репутация:
3338
|
|
Кавычка ..Как правило вызывает ошибку mysql…Если ошибка есть..считай у тебя скуля
Вовсе необязательно. Все такие вопросы лучше читать здесь:
https://forum.antichat.ru/thread104591.html
|
|
|
|
20.04.2009, 17:50
|
|
Постоянный
Регистрация: 11.10.2007
Сообщений: 406
Провел на форуме:
7215020
Репутация:
1423
|
|
Сообщение от -m0rgan-
Можно, но не всегда
Пример когда можно:
http://www.agata.org.br/show_file.php?file=index.php
Это не инклуд
http://www.agata.org.br/show_file.php?file=show_file.php
PHP код:
...
highlight_file($file);
...
Читалка файла с подсветкой пхп-кода
http://www.phpdig.net/ref/rn39re744.html
|
|
|
|
20.04.2009, 17:51
|
|
Постоянный
Регистрация: 29.09.2008
Сообщений: 553
Провел на форуме:
2584134
Репутация:
519
|
|
Сообщение от DimOnOID
Если ты поставил кавычку ..и текст исчез ..это не значит что в этом параметре есть иньекция….и поэтому перебирать в слепую да ещё и union select не имеет смысла.
Кавычка ..Как правило вызывает ошибку mysql…Если ошибка есть..считай у тебя скуля…И даже если ошибки нету..это не значит что там нету инъекции…Нужно проверять и дальше.
Вообщем читай стати по Инъекциям..Юзай поиск
не обязательно скуля...
2Yosch23
Если не вілитает ошибка, значит скорее всего error_reporting(0);
Через union select долго, если есть воозможность юзай конструкцию order by
|
|
|
|
|
|
|
|
Здесь присутствуют: 2 (пользователей: 0 , гостей: 2)
|
|
|
|
Похожие темы
Линейный вид
