вот такая бяка выскочила, когда попытался проверить phpinfo: Template error Failed to find block 'log_ecards'(#(<!-- BEGIN log_ecards -->)(.*?)(<!-- END log_ecards -->)#s) in : <div align="center"> <table cellpadding="0" cellspacing="1"> <tr> <td class="admin_menu"><a href="admin.php" title="{ADMIN_TITLE}">{ADMIN_LNK}</a></td> <td class="admin_menu"><a href="catmgr.php" title="{CATEGORIES_TITLE}">{CATEGORIES_LNK}</a></td> <td class="admin_menu"><a href="albmgr.php{CATL}" title="{ALBUMS_TITLE}">{ALBUMS_LNK}</a></td> <td class="admin_menu"><a href="groupmgr.php" title="{GROUPS_TITLE}">{GROUPS_LNK}</a></td> <td class="admin_menu"><a href="usermgr.php" title="{USERS_TITLE}">{USERS_LNK}</a></td> <td class="admin_menu"><a href="banning.php" title="{BAN_TITLE}">{BAN_LNK}</a></td> <td class="admin_menu"><a href="reviewcom.php" title="{COMMENTS_TITLE}">{COMMENTS_LNK}</a></td> <td class="admin_menu"><a href="picmgr.php" title="{PICTURES_TITLE}">{PICTURES_LNK}</a></td> <td class="admin_menu"><a href="searchnew.php" title="{SEARCHNEW_TITLE}">{SEARCHNEW_LNK}</a></td> <td class="admin_menu"><a href="util.php" title="{UTIL_TITLE}">{UTIL_LNK}</a></td> <td class="admin_menu"><a href="profile.php?op=edit_profile" title="{MY_PROF_TITLE}">{MY_PROF_LNK}</a></td> <!-- BEGIN documentation --> <td class="admin_menu"><a href="{DOCUMENTATION_HREF}" title="{DOCUMENTATION_TITLE}" target="cpg_documentation">{DOCUMENTATION_LNK}</a></td> <!-- END documentation --> </tr> </table> </div> сам сайт: http://www.kjtg.ee/album и запрос к нему http://www.kjtg.ee/album/thumbnails.php?phpinfo получается такое только с thumbnails.php с другими РНР файлами ничего не происходит, ошибка не выдаётся. Я человек в PHP новый, поэтому прошу сильно не материть, за, возможно, недоходчивое изложение. Хотелось бы узнать у спецов, что означает та ошибка в плане возможности какой-либо PHP-иньекции и/или завладения root'ом Цель - необходимо удалить из этой галлереи несколько фотографий (дело очень личного характера). Просьба помочь теоретически. Заранее благодарен.
причем здесь phpinfo? _http://www.kjtg.ee/album/thumbnails.php вот по этой ссылке и возникает данное сообщение. теретическая помощь: попробуй сам обнаружить уязвимости в данном продукте. то что ты получил - это даже багой нельзя назвать. Поищи в багтраках, может сплоит какой найдешь для Coppermine Photo Gallery
Rebz спасибо за разьяснение. да, действительно, ошибка выдаётся и без рнр инфо. А вообще в таких ситуациях будет ли полезным проанализировать файлы PHP, находящиеся на сервере? И если да, то есть ли утилиты, сливающие PHP с сервера на хард?
для этого и существуют бесплатные движки или там фотогаллереи. Что же тебе мешает скачать исходники Coppermine Photo Gallery?). Как раз так багоискатели и находят уязвимости в бесплатных продуктах - изучают исходники). С сервера напрямую никак не скачать файлы.. это не html или JS =)
Ок, хорошо. Скажи(те), а реально ли и стоит ли этим вообще заниматься - брутить пароль доступа к фотогаллерее. Отсюда http://www.kjtg.ee/album/profile.php?uid=1 стало изветсно, что в системе только один юзер - vitali. Он же root. Есть смысл брутать?
