Привет всем. У меня такой вот вопрос: К примеру я являюсь админом "Х движка", в админке я могу менять надписи, а так же вместо надписи вставлять картинку через <img src="url/image.gif">, скрипт <script src="url/script.js"></script>. Иногда получается, что я вижу часть PHP файла на той странице где я менял надпись. Есть так же форма с графическим редактором и есть возможность непользуясь им вписать HTML-код который будет виден на той странице, что я редактировал. Возможно ли создать такие условия чтоб я мог просмотреть файл PHP полностью, а так же мог просматривать директории и другие файлы, другими словами мне нужен шелл. У кого какие предложения по этому поводу?
Короче это движок уже всеми заезженого "@BгуSt@4у.ру"... пишу название так чтоб админ эту тему ненашёл. У меня получилось сделать типа<script>alert(Nav.src+parent.Nick)</script>. Nav.src строка с сесией и ID, parent.Nick - Nickname.. думаю всем ясно что можно далее с этим сделать... Вопрос в том чтоб умадрица сделать шелл и слить исходники самого движка..
если я нормально понял то ты можешь вставлять хтмл код... а этим кроме дефа ничего не добьешься.. или ситуация по другому?
В админке есть ввод надписи: я могу туда вписать что угодно, картинку, скрипт, но только 250 символов. вот мнеб хотелось побольше узнать что с ентим можна забабахать и реально ли к.о. умудрится хотяб залить шел на сайт подставив чтонито типа: реально?