php injection обход логики ч.2

Discussion in 'Песочница' started by Exeval, 14 Jan 2016.

  1. Exeval

    Exeval New Member

    Joined:
    25 Aug 2015
    Messages:
    3
    Likes Received:
    2
    Reputations:
    1
    Нашёл уязвимость вида
    $str = '<?php
    class MyClass{
    public $a = "'. $_POST["A"] . '";
    public $b = "'. $_POST["B"] . '";
    }'
    $str сохраняется в .php , файл инклудится и вызывается new MyClass.

    Если отключён MQ, проблем никаких.
    Если включён, мысль только что-то подобное провернуть
    http://forum.antichat.ru/threads/352923/
    Но как назло, в классе это место совсем неисполняемое. Сломал уже всю голову.
    Что ни вставь, вызывает ошибку Parse error: syntax error, unexpected '"' .
     
    #1 Exeval, 14 Jan 2016
  2. gambrealpersbull1985

    gambrealpersbull1985 New Member

    Joined:
    15 Jan 2016
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    Да похоже никак. В этом месте только скалярные величины передаются.
     
    #2 gambrealpersbull1985, 15 Jan 2016
    Exeval likes this.
  3. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Пожалуй с 100% уверенностью об этом вам сможет ответить Stefan Esser.
     
    #3 randman, 16 Jan 2016
  4. gambrealpersbull1985

    gambrealpersbull1985 New Member

    Joined:
    15 Jan 2016
    Messages:
    4
    Likes Received:
    1
    Reputations:
    0
    Я извиняюсь, а можно контакт? В пользователях таких не нашёл.
     
    #4 gambrealpersbull1985, 17 Jan 2016
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.