ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Описание:

Есть сайт,например, site.com в корневой веб-директории лежит fckeditor 2.6.0

в общем site.com/fckeditor/../../../../browser.html?Connector=/.../../../connector.php выдает XML ошибку, то 404, то 0. В общем порывшись в мануалах, т.к. я не могу редактировать конфиг, то дописал &ServerPath=/EXfile/. И в результате файлы стали заливаться, ошибка исчезла, и они стали в файл-манагере отображаться. НО! я ищу залитый файл - хост выдает ошибку 404 файл не найден (заливаю текстовые файлы левые). Они отображаются через файл манагер (и только они), а через веб - не доступны. Причем по идее в этой папке лежат доковские файлы залитые админом, доступные для скачивания. И права на запись есть вроде как.

Вопросы:

1. В общем как найти мной залитые? (путь раскрыл вызвав ошибку)

2. Почему отобрыжаются только залитые мной файлы, а остальные (если это одна и таже директория) нет?

3. Может что-нибудь посоветуете?

Спасибо за ответы.

Обход фильтрации

Есть запрос:

Фильтруются:

Как-то можно заставить вернуть тру?

Спасибо, за ответ. C phpmyadmin'ом оказался облом.

New XAMPP security concept:

Access to the requested object is only available from the local network.

This setting can be configured in the file "httpd-xampp.conf".

Насчет сорца скрипта загрузчика. Вот, собственно, код.

В общем, я может уже что-то сильно не понимаю(бьюсь над сайтом с ночи), но, эээ... мой шелл, который я залил через админку, оказался целиком записан в mysql, и, cудя по сорцам - просто аттачится. Более, того, абсолютно все php-cкрипты, которые составляют "костяк сайта", записаны в БД. То есть таким запросом:

я смог проинклудить index.php, лол. Но, к сожалению, как проинклудить шелл или выполнить его из mysql, я не знаю Кто-нибудь сталкивался с подобным?

как найти путь к файлу после заливки через fckeditor, если перебор не эффективен? (и через сайт не найти)

Эмм, а что мешает проинклудить свой шелл? Прямо из бд?

Пробовал, не получается. Шелл записывается в другую таблицу, не где скрипты сайта, и из которой у меня не получилось его подцепить. Если есть свободное время и интерес, отпиши в ПМ, скину ссылку - мне не жалко Может у тебя что-то получится.

Подскажите способы заливки шелла через админку

http://www.google.ru/#hl=ru&newwindow=1&output=search&sclient=psy-ab&q=%D0%B7%D0%B0%D0%BB%D0%B8%D0%B2%D0%BA%D0%B8+%D 1%88%D0%B5%D0%BB%D0%BB%D0%B0+%D1%87%D0%B5%D1%80%D0 %B5%D0%B7+%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%BA%D1% 83&oq=%D0%B7%D0%B0%D0%BB%D0%B8%D0%B2%D0%BA%D0%B8+% D1%88%D0%B5%D0%BB%D0%BB%D0%B0+%D1%87%D0%B5%D1%80%D 0%B5%D0%B7+%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%BA%D1 %83&aq=f&aqi=&aql=&gs_l=hp.3...1041l1041l1l1975l1l 1l0l0l0l0l583l583l5-1l1l0.frgbld.&psj=1&bav=on.2,or.r_gc.r_pw.r_qf.,cf .osb&fp=4d05dc9d3da3250f&biw=1366&bih=664

И ещё вопрос,что означает если при запросе на вывод данных из таблицы mysql выводится ошибка?