Респект всем.Я немного походил по сайтам,лежащем на одном серваке с ][akepом и нашел некоторые баги на Хулигане. http://xyligan.ru/admin/fckeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=Thumbnail&Type=File&CurrentFolder=/&FileName=../../../../../../etc/passwd Короче там есть убогая админка xyligan.ru/admin (логин admin;пасс admin).Там можно загружать файлы.Правда там фильтр стоит - можно только jpg,gif И swf.Я уже загрузил шелл и думаю,как его заинклюдить. Кстати,вот полный путь к скрипту file-manager'a: /home/httpd/vhosts/ru/xylite/admin/fckeditor/editor/filemanager/browser/default/connectors/php/connector.php Несложно догадаться,что ][акер лежит в /home/httpd/vhosts/ru/xakep ps. ИМХО здесь взломом ][akep'a попахивает :0
Скажу по секрету что этот connector.php от FCeditor спокойно сожрёт файл shell.php. (точка после расширения php обязательна!). Стоит отметить, что точку после расширения в виндах я поставить так и не смог. Так что Linux в руки, а там у тя PHP shell уже будет, думаю после и до xakep.ru доберёшься.
fowl, Вообще-то, это нормально, что админы читают форумы по безопасности =) И кстати, плиз, на будущее -- не давай прямых ссылок и логинов/паролей к сайтам тебе не принадлежащим. Если кому надо -- тебе в личку напишут.
не хочется зря создавать новую тему ( короче offtop) нашел баг на античате http://video.antichat.ru/search_0.html Поиск по видео : kkk' Warning: Wrong parameter count for mysql_result() in z:\home\video.antichat.net\www\index.php on line 26 а вот и http://video.antichat.ru/phpmyadmin (правда запаролен)
Вообще, мой тебе совет - прекрати выкладывать подобную инфу в открытый доступ. Ни к чему хорошему это не приведёт. Если ломаешь - делай всё тише. А вообще лучше посылай инфу о уязвах разработчиками и админам, исходя из своего опыта могу сказать что это гораздо выгоднее порой бывает.