Посоветуйте план дальнейших действий

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости
Посоветуйте план дальнейших действий

Страница 1 из 2

Опции темы

Поиск в этой теме

Опции просмотра

Посоветуйте план дальнейших действий

09.06.2006, 20:38

shiz

Новичок

Регистрация: 09.06.2006

Сообщений: 16

С нами: 10484841

Репутация: 5

Посоветуйте план дальнейших действий

Ситуация такова:
сайтик PHP,MySQL
есть доступ в админку, которая на удивление малофункциональна, тобишь только редактирование некоторой части контента.. всё остальное как я догадываюсь добавляется ручками..
есть только одна возможность залить файл - фотка для юзверей.. причём заливается неизвестно куда через скрипт пхпшный... и ссылки везде на залитую имгу указываются опять же через скрипт - аля output.php?...
и определить папку где лежат имаги неполучается
вообщем по моим соображениям - либо jawascript либо коимто образом определить куда заливаются имаги и собсно туда же шелл определить... что посоветуете?

𝕏 Twitter Reddit Telegram Копировать ссылку

Последний раз редактировалось shiz; 09.06.2006 в 20:41..

09.06.2006, 20:45

Talisman

Постоянный

Регистрация: 22.04.2006

Сообщений: 566

С нами: 10554411

Репутация: 517

а как тебе жаба то поможет??? онаж на стороне клиента...

09.06.2006, 20:57

~~Tem~~

Banned

Регистрация: 05.10.2005

Сообщений: 965

С нами: 10840706

Репутация: 547

Если залить фотку и не возможна просмотреть в свойстве полный путь до файла ?

09.06.2006, 21:05

shiz

Новичок

Регистрация: 09.06.2006

Сообщений: 16

С нами: 10484841

Репутация: 5

неа, грю ж там не путь к имаге а путь к скрипту

10.06.2006, 10:20

SanyaX

.::Club Life::.

Регистрация: 28.01.2005

Сообщений: 1,205

С нами: 11200586

Репутация: 1398

Движок самописный или нет? Если нет качай сорцы двига. Смотри путь заливики фотографий.

__________________
-=Ok let's Go=-
-=OpenVPN=-

10.06.2006, 16:46

shiz

Новичок

Регистрация: 09.06.2006

Сообщений: 16

С нами: 10484841

Репутация: 5

самопальный..до сорцев не дорваться =\

10.06.2006, 16:58

Sn@k3

Познавший АНТИЧАТ

Регистрация: 13.04.2006

Сообщений: 1,738

С нами: 10566621

Репутация: 1198

Цитата:

Сообщение от SanyaX

Движок самописный или нет? Если нет качай сорцы двига. Смотри путь заливики фотографий.

а вдруг там филтр на имена?и есть подмена собственного имени, то есть при заливке заменятеся там типа на 555453453465436346.gif? лучше всего залить нормальную картинку и просмотреть её нажав правой и свойства, если проходит, то качай шеллу, заменив например shell.php.gif(если фильтра на расширение есть). вот.а так можно, если можешь редактировать файлы на пхп , то в какой-нить файл, желательно ненужный подставь в нём например: <? system($c); ?> - шелла можешь выполнить команды на целевой системе, но права не прибавит ).

10.06.2006, 17:02

shiz

Новичок

Регистрация: 09.06.2006

Сообщений: 16

С нами: 10484841

Репутация: 5

никакой проверки там нет
как я писал уже выше - в свойствах картинки он указывает адрес скрипта.
редактировать файлы я не могу, и даже посмотреть нельзя...
иначе бы задача очень упростилась..