Thanks.
I don't want to hurt you really but i just wonder WTF will do file_get_contents() PHP function if theris in ex open_basedir restriction? Or permission problem?
This is not vulnerability and exploit anymore.It may work for attacker if the server administrator total noob.
if server admin is noob sure there will be a lot of ways to read/write others configs,files etc.
In ex: fread(), or print_r(file('/home/blah/somelameserveradmin/public_html/blahconfig.hp'));
Warning: file_get_contents() [function.file-get-contents]: open_basedir restriction in effect. File(c:/boot.ini) is not within the allowed path(s): (C:/Program Files/Apache Software Foundation/Apache2.2/htdocs/learn;C:\DOCUME~1\Apache\LOCALS~1\Temp) in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\up\guyabypass.php on line 12
Warning: file_get_contents(c:/boot.ini) [function.file-get-contents]: failed to open stream: Operation not permitted in C:\Program Files\Apache Software Foundation\Apache2.2\htdocs\learn\up\guyabypass.php on line 12
Obviously it can't bypass .Because theris open basedir restriction.
//my Apache config
httpd.conf
SNIP:
Kod:
################## PER DIRECTORY OPEN BASEDIR RESTRICTION ##################################
@AnOps, bəzi serverlərdə upload üçün bypass methodudur. (qısaca desək upload problemi yaşadığın zaman bəlkə bu sənin işinə yaraya bilər.)
ancaq Dr.Kroooz bro'muzun dediyinə görə bu scriptin işləməsi üçün orda bəlli bir funksiyalar var ki, onlar server tərəfindən əngəlləməmiş vəziyyətdə olmalıdır.
@TheRock yanılırsan bax yuxarıda da onu demişəm.Burda bypasslıq ümumiyyətlə heçnə yoxdur.
İndi Dr.Krooz-un əlinə hansısa bir partdaq server düşüb(düzgün idarə olunmayan) orda bunu istifadə edib keçib)
heçnə yox adi open basedir restriction olsun görüm kim necə bypass edə bilər bu metodla.
İnanmırsınızsa bir dənə web server qurun ya shell verim heçnə yox adi open basedir restrictionla görüm necə bypass edərsiniz file_get_contents() ilə))
Sitat#12397BlackMinD :
@TheRock yanılırsan bax yuxarıda da onu demişəm.Burda bypasslıq ümumiyyətlə heçnə yoxdur.
İndi Dr.Krooz-un əlinə hansısa bir partdaq server düşüb(düzgün idarə olunmayan) orda bunu istifadə edib keçib)
heçnə yox adi open basedir restriction olsun görüm kim necə bypass edə bilər bu metodla.
İnanmırsınızsa bir dənə web server qurun ya shell verim heçnə yox adi open basedir restrictionla görüm necə bypass edərsiniz file_get_contents() ilə))
@AnOps, bəzi serverlərdə upload üçün bypass methodudur. (qısaca desək upload problemi yaşadığın zaman bəlkə bu sənin işinə yaraya bilər.)
Upload Bypass adlana termin yoxdur.Burda həm də söhbət tam başqadıre)
Sitat
ancaq Dr.Kroooz bro'muzun dediyinə görə bu scriptin işləməsi üçün orda bəlli bir funksiyalar var ki, onlar server tərəfindən əngəlləməmiş vəziyyətdə olmalıdır.
O tipli siz də məni bağışlayın partdaq bir server varsa nə disable edilir edilsin oxumaq 2x2-dir)
Heçnə yox adi PHP-ni öyrənin başa düşərsiniz nə var nə yox...