Тема: Ваши вопросы по уязвимостям.
Показать сообщение отдельно

  #11  
Старый 22.09.2016, 01:21
winstrool
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875

Репутация: 137
По умолчанию
Цитата:
Сообщение от swat_  
swat_ said:

есть такой код ,выводит только список файлов и папок в директорий , если сделать ../../../../../../../etc/passwd то пишет tmp array , а если ../../../../../../../etc то покажет список всех файлов и папок в директории.
Вопрос ,реально ли прочитать содержимое файла через этот код?
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]'[/COLOR][COLOR="#007700"];
echo[/COLOR][COLOR="#DD0000"]""[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]sys_get_temp_dir[/COLOR][COLOR="#007700"]() .[/COLOR][COLOR="#DD0000"]"
"[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]"../images/"[/COLOR][COLOR="#007700"];
if ([/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"path"[/COLOR][COLOR="#007700"]])[/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$_REQUEST[/COLOR][COLOR="#007700"][[/COLOR][COLOR="#DD0000"]"path"[/COLOR][COLOR="#007700"]] .[/COLOR][COLOR="#DD0000"]'/'[/COLOR][COLOR="#007700"];
[/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]= new[/COLOR][COLOR="#0000BB"]Game_Tool_Disk_Directory[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$path[/COLOR][COLOR="#007700"], array (
[/COLOR][COLOR="#DD0000"]"png"[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]"gif"[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]"jpg"[/COLOR][COLOR="#007700"],
[/COLOR][COLOR="#DD0000"]"jpeg"[/COLOR][COLOR="#007700"]));

[/COLOR][COLOR="#0000BB"]print_r[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getDirs[/COLOR][COLOR="#007700"]());

echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];

[/COLOR][COLOR="#0000BB"]print_r[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getFiles[/COLOR][COLOR="#007700"]());

echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];

if ([/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getDirCount[/COLOR][COLOR="#007700"]()) {
while ([/COLOR][COLOR="#0000BB"]$directory[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]nextDir[/COLOR][COLOR="#007700"]() ) {

echo[/COLOR][COLOR="#DD0000"]"["[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$directory[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"]
"[/COLOR][COLOR="#007700"];
}
}

echo[/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"];

if ([/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]getFileCount[/COLOR][COLOR="#007700"]()) {
while ([/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]$dir[/COLOR][COLOR="#007700"]->[/COLOR][COLOR="#0000BB"]nextFile[/COLOR][COLOR="#007700"]() ) {
echo[/COLOR][COLOR="#DD0000"]"["[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]$file[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#DD0000"]"]
"[/COLOR][COLOR="#007700"];

echo[/COLOR][COLOR="#DD0000"]"
"[/COLOR][COLOR="#007700"];
}
}

[/COLOR][/COLOR] 
Тут бы класс посмотреть Game_Tool_Disk_Directory, что в нем прописано, ну а логика кода подсказывает что нет
 
Ответить с цитированием