ID 10 готов ID 6 готов ID 5 готов пробовал зайти от юзеров , не получилось ...... увы! upd md5(md5($pass).$salt) бл точно ))))))))))) ... у мну прошло как md5 простой )))))))
вот и не лень тебе было снимать этот фейк ? ) денег на хлеб не хватает? ) попробуй подзаработать на стройке, заплатят больше чем в этом конкурсе) узнал из видео какой у меня на самом деле пасс)) веселая тема, спасибо за вечерний позитив))
Спокойно! Когда я смотрел видео, я не стал искать различные ляпы, а просто обратил внимание на следующие факторы: В видео нет информации, которую можно было-бы узнать, имея шелл - всю информацию можно добыть так Нигде не написано про то, что это взлом rdot.org, просто rdot.org, По этим факторам стало сразу всё понятно(Я не думал об обратном, только если после этого не последует вторая часть), но на всякий случай я решил отписать ТС'у(Вдруг он сразу об этом скажет), ну а кто-то действительно сразу всё принял за действительность. Только было действительно правильно не прерывать всё это сразу, активность то какая в теме появилась.
Вообще в видео расматривается данный код в index.php PHP: <?php if(isset($_GET['page']) and !is_array($_GET['page'])) { if(preg_match('#^([a-z]+)$#i', $_GET['page'])) { $page = 'http://localhost/'.str_replace(array('..', '/'), '', $_REQUEST['page']); if(preg_match('#^http://localhost#i', $page)) include $page.'.html'; } } elseif(is_array($_GET['page'])) { header('Location: /'); exit; } else { header('Location: index.php?page=index'); exit; } Мы имеем RFI, но ограничение в том что вызываются файлы только с указанного хоста и потенциально имеем XSS на этом указанном хосте. Совместив RFI и XSS мы получаем возможность выполнить произвольный PHP код. Ничего сложного или нового. Так же на сервере rdot.org присутствует phpinfo: https://rdot.org/pinfo.php Но его достоверность забавляет, в прочем и не только его.
Я бы на месте админов, сделал бы ифрейм загруз с линка шелла и отомстил, выложив инфу всех ломанувшихся в поиске халявы с античата.))))
