Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница Заливка шелла

   

Опции темы

Поиск в этой теме

Опции просмотра

#1   06.08.2012, 11:37 Bragal Guest Сообщений: n/a Провел на форуме: 4134 Репутация: 0 В админке можно грузить только картинки, причем проверка осуществляется с помощью функции PHP код: PHP: [COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]function[/COLOR][COLOR="#0000BB"]isImage[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$fileName[/COLOR][COLOR="#007700"]) { [/COLOR][COLOR="#0000BB"]$regexp_images[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#DD0000"]'/\.(jpe?g|gif|png|bmp)$/i'[/COLOR][COLOR="#007700"]; return (boolean)[/COLOR][COLOR="#0000BB"]preg_match[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]$regexp_images[/COLOR][COLOR="#007700"],[/COLOR][COLOR="#0000BB"]$fileName[/COLOR][COLOR="#007700"]); }[/COLOR][/COLOR]  Реально как нибудь обойти эту проверку?   Bragal Репутация   #2   06.08.2012, 12:13 mrfreeze Guest Сообщений: n/a Провел на форуме: 3060 Репутация: 0 Дописать расширение шелла .gif, не?   mrfreeze Репутация   #3   06.08.2012, 12:17 Bragal Guest Сообщений: n/a Провел на форуме: 4134 Репутация: 0 Не, не выполняется он тогда.   Bragal Репутация   #4   13.08.2012, 04:04 Unknown Guest Сообщений: n/a Провел на форуме: 6070 Репутация: 5 А локального инклюда нет? Тогда можно было бы в EXIF дописать шелл и загрузить, потом проинклюдить   Unknown Репутация   #5   13.08.2012, 04:11 BLurpi^_^ Guest Сообщений: n/a Провел на форуме: 65325 Репутация: 9 Дак нужно не просто поменять расширение, но и заменить mime-type отправляемого файла с image/jpeg, на application/octet-stream   BLurpi^_^ Репутация   #6   13.08.2012, 04:19 Konqi Постоянный Регистрация: 24.06.2009 Сообщений: 542 Провел на форуме: 2101094 Репутация: 672 миме не проверяется, и вообще тут бесполезно что то сделать.   Konqi Посмотреть профиль Репутация Отправить личное сообщение для Konqi Найти все сообщения от Konqi Добавить в друзья

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход Мой кабинет Личные сообщения Подписки Кто на форуме Поиск по форуму Главная страница форума ИНФО     Мировые новости. Обсуждения.     Статьи         Избранное РАЗРАБОТКА     Ваши проекты.     SЕО - тонкости, методы раскрутки         Услуги, Покупка и Продажа в SEO     Хостинги - Hostings         Хостинг, Dedicated, VDS, Сервера - покупка, продажа             ПО для Web разработчика     Для Администратора         Apple: Mac, OS X, iOS         AntiDDoS - АнтиДДОС         Windows         Linux, Freebsd, *nix ПРОГРАММИРОВАНИЕ     PHP     С/С++, C#, Rust, Swift, Go, Java, Perl, Ruby     Реверсинг ФИНАНСОВЫЕ ЗАДАЧИ/СОЦИАЛЬНЫЕ СЕТИ     Покупка, Продажа, Обмен         Разное - Покупка, продажа, обмен         Услуги, Покупка и Продажа в SEO         Электронные валюты: Обмен, Вывод, Ввод         VPN, Proxy, Socks - Покупка, продажа         Хостинг, Dedicated, VDS, Сервера - Покупка, продажа         Мобильная связь, СМС - Покупка, продажа         Трафик, инсталлы, загрузки - Покупка, продажа         Покупка, продажа, услуги в Соц. Сетях     Партнерки     Freelance — О работе         Предложения работы, услуг         Поиск работы, оказание услуг     Социальные сети         Покупка, продажа, услуги в Соц. Сетях     Платежные системы         Электронные валюты: Обмен, Вывод, Ввод         Blockchain, Криптовалюты, смарт-контракты ЛИЧНЫЕ ФОРУМЫ     Olbanec - Арбитраж трафика ОФФТОП     Болталка     Forum for discussion of ANTICHAT     Video.Antichat         Комментарии к видео     Архив         ICQ - Покупка, продажа