Task # Task #4

Discussion in 'Задания/Квесты/CTF/Конкурсы' started by joelblack, 15 Feb 2019.

  1. joelblack

    joelblack Reservists Of Antichat

    Joined:
    6 Jul 2015
    Messages:
    227
    Likes Received:
    386
    Reputations:
    100
    dooble likes this.
  2. Gorbachev

    Gorbachev Level 8

    Joined:
    23 Mar 2017
    Messages:
    255
    Likes Received:
    137
    Reputations:
    71
    Следует фильтровать пользовательский инпут впринципе. Всегда, и везде.
     
    BillyBons, dooble and joelblack like this.
  3. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    180
    Likes Received:
    444
    Reputations:
    116
    В данном конкретном случае достаточно
    Code:
        $imgName = $_GET['f'];
        if(file_exists($imgName)){
    
    заменить на
    Code:
        $imgName = './'.$_GET['f'];
        if(file_exists($imgName)){
    
    и использовать врапперы уже не получится.
     
    altblitz, man474019, rudi and 3 others like this.
  4. GTAlex

    GTAlex New Member

    Joined:
    7 Sep 2009
    Messages:
    43
    Likes Received:
    0
    Reputations:
    0
    А шелл с помощью врапперов на хост в данной ситуации можно залить? или "читалка" это предел возможностей?
     
Loading...