Форум АНТИЧАТ - Заливка шелла или LFI

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - Заливка шелла или LFI (https://forum.antichat.xyz/showthread.php?t=440253)

Здравствуйте!! Нужна помощь, а то я уже все не могу, руки опускаются...

Во общем суть такая! Есть доступ к PMA FILE_PRIV=no ,но LOAD DATA LOCAL INFILE работает читаю файлы.Еще phpinfo.php есть. На сервере есть два сайта, один файловый хостинг картинок, а на втором стоит сайт на html c HESK есть доступ к админке. Есть там загрузчик файлов приведу его

.SpoilerTarget" type="button">Spoiler: Кусок кода с HESK c загрузки

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][/COLOR]

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#FF8000"]/* --> Attachments */
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'use'[/COLOR][COLOR="#007700"]] = empty([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_attach_use'[/COLOR][COLOR="#007700"]]) ?[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]:[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];
if ([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'use'[/COLOR][COLOR="#007700"]])
{
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_number'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]intval[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]hesk_POST[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'s_max_number'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]) );

[/COLOR][COLOR="#0000BB"]$size[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]floatval[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]hesk_POST[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'s_max_size'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'1.0'[/COLOR][COLOR="#007700"]) );
[/COLOR][COLOR="#0000BB"]$unit[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]hesk_htmlspecialchars[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]hesk_POST[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'s_max_unit'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'MB'[/COLOR][COLOR="#007700"]) );

[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_size'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]hesk_formatUnits[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$size[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]' '[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$unit[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] = isset([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) && ![/COLOR][COLOR="#0000BB"]is_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) &&[/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) ?[/COLOR][COLOR="#0000BB"]explode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]','[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]strtolower[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]preg_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'/[^a-zA-Z0-9,]/'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'s_allowed_types'[/COLOR][COLOR="#007700"]]) ) ) : array();
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]array_diff[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]], array([/COLOR][COLOR="#DD0000"]'php'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'php4'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'php3'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'php5'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'phps'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'phtml'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'shtml'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'shtm'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'cgi'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'pl'[/COLOR][COLOR="#007700"]) );

    if ([/COLOR][COLOR="#0000BB"]count[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]]))
    {
[/COLOR][COLOR="#0000BB"]$keep_these[/COLOR][COLOR="#007700"]= array();

        foreach ([/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] as[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"])
        {
            if ([/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"]) >[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])
            {
[/COLOR][COLOR="#0000BB"]$keep_these[/COLOR][COLOR="#007700"][] =[/COLOR][COLOR="#DD0000"]'.'[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$ext[/COLOR][COLOR="#007700"];
            }
        }

[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#0000BB"]$keep_these[/COLOR][COLOR="#007700"];
    }
    else
    {
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]] = array([/COLOR][COLOR="#DD0000"]'.gif'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.jpg'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.png'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.zip'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.rar'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.csv'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.doc'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.docx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xls'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xlsx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.txt'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.pdf'[/COLOR][COLOR="#007700"]);
    }
}
else
{
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_number'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'max_size'[/COLOR][COLOR="#007700"]]=[/COLOR][COLOR="#0000BB"]1048576[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$set[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'attachments'[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]'allowed_types'[/COLOR][COLOR="#007700"]]=array([/COLOR][COLOR="#DD0000"]'.gif'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.jpg'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.png'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.zip'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.rar'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.csv'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.doc'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.docx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xls'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.xlsx'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.txt'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'.pdf'[/COLOR][COLOR="#007700"]);
}
[/COLOR][/COLOR]

Там идет проверка на php расширение, Может кто знает как обойти.

Самое интересное файловый хостинг картинок, туда залил шелл через подмену tamper data, но залился он как JPEG Привожу пример

.SpoilerTarget" type="button">Spoiler: код загрузки

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"])
[/COLOR][COLOR="#0000BB"]imagecopyresampled[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$dest[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]round[/COLOR][COLOR="#007700"](([/COLOR][COLOR="#0000BB"]max[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"])-[/COLOR][COLOR="#0000BB"]min[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"]))/[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]),[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$w[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$w[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]min[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"]),[/COLOR][COLOR="#0000BB"]min[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$h_src[/COLOR][COLOR="#007700"]));
if ([/COLOR][COLOR="#0000BB"]$w_src[/COLOR][COLOR="#007700"][/COLOR][/COLOR]

.SpoilerTarget" type="button">Spoiler: index.php

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#0000BB"]setcookie[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'ref'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$ref[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]time[/COLOR][COLOR="#007700"]()+[/COLOR][COLOR="#0000BB"]3600[/COLOR][COLOR="#007700"]*[/COLOR][COLOR="#0000BB"]24[/COLOR][COLOR="#007700"]*[/COLOR][COLOR="#0000BB"]30[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]'/'[/COLOR][COLOR="#007700"]);
}
switch ([/COLOR][COLOR="#0000BB"]$q[/COLOR][COLOR="#007700"])
{
case[/COLOR][COLOR="#DD0000"]'login'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/login.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'faq'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/faq.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'price'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/price.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'rules'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/rules.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'feedback'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/feedback.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'forgot'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/forgot.php'[/COLOR][COLOR="#007700"]);
break;
case[/COLOR][COLOR="#DD0000"]'registration'[/COLOR][COLOR="#007700"]:
include([/COLOR][COLOR="#DD0000"]'tpl/registration.php'[/COLOR][COLOR="#007700"]);
break;
default:
include([/COLOR][COLOR="#DD0000"]'tpl/about.php'[/COLOR][COLOR="#007700"]);
}
include([/COLOR][COLOR="#DD0000"]'tpl/footer.php'[/COLOR][COLOR="#007700"]);
;echo[/COLOR][COLOR="#DD0000"]'   
FHM v2.2
'[/COLOR][COLOR="#007700"];[/COLOR][COLOR="#0000BB"]?>[/COLOR][/COLOR]

Помогите, подтолкните меня....

насчет первого - попробуйте php2 и pht. насчет второго - расширение само такое высталвяется, вне зависимости от того, что заливаете?

Цитата:

Сообщение от yarbabin

yarbabin said:
↑
насчет первого - попробуйте php2 и pht. насчет второго - расширение само такое высталвяется, вне зависимости от того, что заливаете?

pht?это работает?надо проверить)

Цитата:

Сообщение от LETIFERUM

LETIFERUM said:
↑
pht?это работает?надо проверить)

Не проверяй. Работает

Цитата:

Сообщение от BabaDook

BabaDook said:
↑
Не проверяй. Работает

Не работает.. Залилось но открывается как текст..

Apache/2.2.9 (Debian) mod_mono/1.9 PHP/5.2.6-1+lenny16 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g Server

Цитата:

Сообщение от zifus

zifus said:
↑
Не работает.. Залилось но открывается как текст..
Apache/2.2.9 (Debian) mod_mono/1.9 PHP/5.2.6-1+lenny16 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g Server

обидно. Может куда заливается файл , он не исполняется ?

Я могу изменить папку загрузки.. Только не знаю насколько глубоко, как права настроены.

Цитата:

Сообщение от yarbabin

yarbabin said:
↑
php2 то че?

Тоже самое, что pht!!

Цитата:

Сообщение от yarbabin

Во втором беру шел.php пихаю в загрузку и в темпер меняю расширение на jpeg и Content-Type: на image/jpeg

pht работает...еще бы путь к нему в аттачментах найти..эх

e7b3b5d138f9eb4db99b2e6730c7b4a7 интересно сколько вот такое может брутиться)))

Цитата:

Сообщение от LETIFERUM

LETIFERUM said:
↑
pht работает...еще бы путь к нему в аттачментах найти..эх

То есть путь найти?

Цитата:

Сообщение от LETIFERUM

LETIFERUM said:
↑
e7b3b5d138f9eb4db99b2e6730c7b4a7 интересно сколько вот такое может брутиться)))

Что это именно?

Цитата:

Сообщение от zifus

zifus said:
↑
То есть путь найти?
Что это именно?

это я про свое)файл залить могу,а реальное название файла не могу найти)

Вот выдернул из конфига, наверное поэтому и не исполняет .pht

AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml

AddType application/x-httpd-php-source .phps

Цитата:

Сообщение от LETIFERUM

LETIFERUM said:
↑
это я про свое)файл залить могу,а реальное название файла не могу найти)

Во все чужие темы лезть со своими вопросами это моветон. А во-вторых, можно попробовать подсмотреть по какому алгоритму такое имя создается и тогда шанс угадать будет выше, имхо.

Цитата:

Сообщение от zifus

zifus said:
↑
Вот выдернул из конфига, наверное поэтому и не исполняет .pht

AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml
AddType application/x-httpd-php-source .phps

Нужно еще поискать какие-нибудь баги и чтение файлов хорошее подспорье в этом. В общем-то тот самый lfi найти будет уже вином. Мне кажется, что все же стоит еще поискать полезную информацию в сорцах на сайте, а там видно будет.

Цитата:

Сообщение от blackbox

blackbox said:
↑
Во все чужие темы лезть со своими вопросами это моветон. А во-вторых, можно попробовать подсмотреть по какому алгоритму такое имя создается и тогда шанс угадать будет выше, имхо.
Нужно еще поискать какие-нибудь баги и чтение файлов хорошее подспорье в этом. В общем-то тот самый lfi найти будет уже вином. Мне кажется, что все же стоит еще поискать полезную информацию в сорцах на сайте, а там видно будет.

да у нас ситуации схожи)мысли вслух были)

На хастинге картинок стоит скрипт FHM v2.2. Может кто встречал, не могу найти админку. Там в конфиге изменяется путь к админке.

Нашел еще один сайт на сервере. Там есть редактор файлов, но не сохраняет ни один файл.. Наверное права урезаны.

Можно что то еще с ним сделать?

PHP код:


		
			
PHP:
[COLOR="#000000"]Редактор/[/COLOR]>[COLOR="#0000BB"][/COLOR]
                   

[COLOR="#0000BB"]
[/COLOR]  Выберите файл для редактирования кода
[COLOR="#0000BB"]
[/COLOR]      
          Идет редактирование 

[COLOR="#0000BB"]Изменения сохранены
'[/COLOR][COLOR="#007700"]; }[/COLOR][COLOR="#0000BB"]?>
[/COLOR][COLOR="#0000BB"][/COLOR][/COLOR]

А да еще теперь через него могу смотреть файлы других сайтов.

Цитата:

Сообщение от zifus

zifus said:
↑
Нашел еще один сайт на сервере. Там есть редактор файлов, но не сохраняет ни один файл.. Наверное права урезаны.
Можно что то еще с ним сделать?

PHP код:


		
			
PHP:
[COLOR="#000000"]Редактор/[/COLOR]>[COLOR="#0000BB"][/COLOR]
                   

[COLOR="#0000BB"]
[/COLOR]  Выберите файл для редактирования кода
[COLOR="#0000BB"]
[/COLOR]      
          Идет редактирование 

[COLOR="#0000BB"]Изменения сохранены
'[/COLOR][COLOR="#007700"]; }[/COLOR][COLOR="#0000BB"]?>
[/COLOR][COLOR="#0000BB"][/COLOR][/COLOR]

А да еще теперь через него могу смотреть файлы других сайтов.

Можно проверить, в правах ли дело - создать в tmp файл, например и в случае успеха попытаться создать файл в дире, доступной для записи (предварительно найдя ее). Если нет, то продолжать читать файлы в поисках другой уязвимости.

Подскажите LFI здесь может быть? А то я его не очень еще понимаю.

.SpoilerTarget" type="button">Spoiler: Код

PHP код:


		
			
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]location.href='/';"[/COLOR][COLOR="#007700"]);
}
[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'ppage'[/COLOR][COLOR="#007700"]];
if ( !isset([/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]) ||[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"index"[/COLOR][COLOR="#007700"];
}
[/COLOR][COLOR="#0000BB"]$page_filter[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]preg_match[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"/^[A-Za-z0-9_=]{2,20}\$/"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]file_get_contents[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]TEMPLATE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/header.tpl"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$news[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]intval[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'news'[/COLOR][COLOR="#007700"]] );
[/COLOR][COLOR="#0000BB"]$news_query[/COLOR][COLOR="#007700"]= @[/COLOR][COLOR="#0000BB"]mysql_fetch_array[/COLOR][COLOR="#007700"]( @[/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"SELECT date,title,full_story,descr,keywords FROM casino_news WHERE id='[/COLOR][COLOR="#007700"]{[/COLOR][COLOR="#0000BB"]$news[/COLOR][COLOR="#007700"]}[/COLOR][COLOR="#DD0000"]' LIMIT 1"[/COLOR][COLOR="#007700"]) );
if ([/COLOR][COLOR="#0000BB"]$news_query[/COLOR][COLOR="#007700"]!=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]&&[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]"news"[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{title}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$news_query[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'title'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{description}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$news_query[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'descr'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{keywords}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$news_query[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'keywords'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{theme}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"/templates/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$template[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'language'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
    echo[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"];
}
else
{
    require_once([/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"config/title.php"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{title}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$title[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{description}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$title[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{keywords}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$title[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{theme}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"/templates/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$template[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'language'[/COLOR][COLOR="#007700"]],[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"]);
    echo[/COLOR][COLOR="#0000BB"]$header[/COLOR][COLOR="#007700"];
}
if ([/COLOR][COLOR="#0000BB"]$page_filter[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#0000BB"]true[/COLOR][COLOR="#007700"])
{
[/COLOR][COLOR="#0000BB"]$inc[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/page."[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]".php"[/COLOR][COLOR="#007700"];
    if ([/COLOR][COLOR="#0000BB"]file_exists[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$inc[/COLOR][COLOR="#007700"]) )
    {
        if ([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'login'[/COLOR][COLOR="#007700"]] !=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"])
        {
[/COLOR][COLOR="#0000BB"]$id_session[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"CASINOSOFT"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_USER_AGENT'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'HTTP_ACCEPT_CHARSET'[/COLOR][COLOR="#007700"]];
[/COLOR][COLOR="#0000BB"]$id_session[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]md5[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$id_session[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]session_id[/COLOR][COLOR="#007700"]( ) );
            if ([/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'sid'[/COLOR][COLOR="#007700"]] ==[/COLOR][COLOR="#0000BB"]$id_session[/COLOR][COLOR="#007700"])
            {
[/COLOR][COLOR="#0000BB"]$user_status_query[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]mysql_fetch_array[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]mysql_query[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"select status from clients where login='"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'login'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]"'"[/COLOR][COLOR="#007700"]) );
                if ([/COLOR][COLOR="#0000BB"]$user_status_query[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'status'[/COLOR][COLOR="#007700"]] !=[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])
                {
                    include_once([/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/header_nomain.php"[/COLOR][COLOR="#007700"]);
                    include_once([/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/page."[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]".php"[/COLOR][COLOR="#007700"]);
                    include_once([/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/footer_nomain.php"[/COLOR][COLOR="#007700"]);
                }
                else
                {
                    include_once([/COLOR][COLOR="#0000BB"]ROOT_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/block.php"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]session_destroy[/COLOR][COLOR="#007700"]( );
                    exit( );
                }
            }
            else
            {
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'sid'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$_SESSION[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'login'[/COLOR][COLOR="#007700"]] =[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"];
                if ([/COLOR][COLOR="#0000BB"]DEBUG[/COLOR][COLOR="#007700"])
                {
                    echo[/COLOR][COLOR="#DD0000"]"Сессия после входа изменена location.href=\"/\";"[/COLOR][COLOR="#007700"];
                }
            }
        }
        else
        {
            include_once([/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/header_nomain.php"[/COLOR][COLOR="#007700"]);
            include_once([/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/page."[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$page[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]".php"[/COLOR][COLOR="#007700"]);
            include_once([/COLOR][COLOR="#0000BB"]ENGINE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/footer_nomain.php"[/COLOR][COLOR="#007700"]);
        }
    }
    else
    {
        include_once([/COLOR][COLOR="#0000BB"]ROOT_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/404.php"[/COLOR][COLOR="#007700"]);
        exit( );
    }
}
else
{
    include_once([/COLOR][COLOR="#0000BB"]ROOT_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/templates/404.php"[/COLOR][COLOR="#007700"]);
    exit( );
}
[/COLOR][COLOR="#0000BB"]$footer[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]file_get_contents[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]TEMPLATE_DIR[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/footer.tpl"[/COLOR][COLOR="#007700"]);
[/COLOR][COLOR="#0000BB"]$footer[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]str_replace[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"{THEME}"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"/templates/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$template[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$language[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$footer[/COLOR][COLOR="#007700"]);
echo[/COLOR][COLOR="#0000BB"]$footer[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]?>
[/COLOR][/COLOR]

Похоже что нет, потому что параметры фильтруются.

Народ,кто че может предположить, что может здесь быть.

А то я ума не могу приложить что здесь?

mysqlmove:x:507:507:mysqlmove:/var/www/mysqlmove/data:/bin/date

Возможно здесь про инклюдить?

Код:

Code:

$op=$_GET[op];

if(preg_match("~^[a-zA-Z0-9\-\_]+$~",$op)) {

$fn='includes/'.$op.'.php';

if(file_exists($fn)) include($fn);

}else if($op=='')

Цитата:

Сообщение от zifus

zifus said:
↑
Возможно здесь про инклюдить?

Код:

Code:

$op=$_GET[op];

if(preg_match("~^[a-zA-Z0-9\-\_]+$~",$op)) {

$fn='includes/'.$op.'.php';

if(file_exists($fn)) include($fn);

}else if($op=='')

Но тут же фильтруется параметр.

Народ.. нарыл вот такое!!

/show_image.php?filename=photo/34а535р3619ee.jpg&width=125

подставляю /etc/passwd и получаю

Warning: file_exists() [function.file-exists]: open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/client/data:.) in/var/www/client/data/www/*****.ru/thumbnail.inc.php on line 126

Warning: getimagesize() [function.getimagesize]: open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/client/data:.) in/var/www/client/data/www/******.ru/thumbnail.inc.php on line 165

Warning: getimagesize(/etc/passwd) [function.getimagesize]: failed to open stream: Operation not permitted in /var/www/client/data/www/******.ru/thumbnail.inc.php on line 165

Warning: imagecreatetruecolor() [function.imagecreatetruecolor]: Invalid image dimensions in /var/www/client/data/www/******.ru/thumbnail.inc.php on line 318

Warning: imagecopyresampled() expects parameter 1 to be resource, boolean given in /var/www/client/data/www/******.ru/thumbnail.inc.php on line 335

Есть у кого какие идеи что здесь можно придумать?

Цитата:

Сообщение от zifus

zifus said:
↑
Народ.. нарыл вот такое!!
/show_image.php?filename=photo/34а535р3619ee.jpg&width=125
подставляю /etc/passwd и получаю
Warning
: file_exists() [
function.file-exists
]: open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/client/data:.) in
/var/www/client/data/www/*****.ru/thumbnail.inc.php
on line
126
Warning
: getimagesize() [
function.getimagesize
]: open_basedir restriction in effect. File(/etc/passwd) is not within the allowed path(s): (/var/www/client/data:.) in
/var/www/client/data/www/******.ru/thumbnail.inc.php
on line
165
Warning
: getimagesize(/etc/passwd) [
function.getimagesize
]: failed to open stream: Operation not permitted in
/var/www/client/data/www/******.ru/thumbnail.inc.php
on line
165
Warning
: imagecreatetruecolor() [
function.imagecreatetruecolor
]: Invalid image dimensions in
/var/www/client/data/www/******.ru/thumbnail.inc.php
on line
318
Warning
: imagecopyresampled() expects parameter 1 to be resource, boolean given in
/var/www/client/data/www/******.ru/thumbnail.inc.php
on line
335

Есть у кого какие идеи что здесь можно придумать?

Скорее всего ничего, но если на сервере стоит imagemagick, то можно попробовать более подробно про последнюю уязвимость почитать и мб использовать ее.