Баг в админке сидж движка GB. Проверял на версиях 3.0, 3.1, 3.2. Для проведения атаки необходимо иметь доступ в админку. Заходим в админку. Выбираем Settings. Выставляем значения GB CJ Pro Key ЕСЛИ maqic_quotes_qpc=OFF 10293\ ЕСЛИ maqic_quotes_qpc=ON 10293" и Trader is Dead after Days ;phpinfo();$V98c4bb2d=7;// Жмём Update Settings и радуемся. Суть в том, что значения параметров фильтруются только на один символ " (двойная кавычка), скрипт её просто вырезает, всё остальное проходит и записываются в файл config.php, это позволяет нам экранировать родные кавычки в конфиге и внедрить свой код. Главное не ошибиться и ввести всё правильно с первого раза, а то движок загнётся.
