Task # Task #4

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by joelblack, 15 Feb 2019.

  1. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    244
    Likes Received:
    450
    Reputations:
    145
    dooble likes this.
  2. Тот_самый_Щуп

    Тот_самый_Щуп Reservists Of Antichat

    Joined:
    23 Mar 2017
    Messages:
    265
    Likes Received:
    174
    Reputations:
    119
    Следует фильтровать пользовательский инпут впринципе. Всегда, и везде.
     
    BillyBons, dooble and joelblack like this.
  3. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    230
    Likes Received:
    599
    Reputations:
    145
    В данном конкретном случае достаточно
    Code:
        $imgName = $_GET['f'];
        if(file_exists($imgName)){
    
    заменить на
    Code:
        $imgName = './'.$_GET['f'];
        if(file_exists($imgName)){
    
    и использовать врапперы уже не получится.
     
    altblitz, eminlayer7788, rudi and 3 others like this.
  4. GTAlex

    GTAlex New Member

    Joined:
    7 Sep 2009
    Messages:
    48
    Likes Received:
    0
    Reputations:
    0
    А шелл с помощью врапперов на хост в данной ситуации можно залить? или "читалка" это предел возможностей?