Shellsec

Fuld version: Sådan uploader du et shell
Du ser lige nu en skrabet udgave af vores indhold. Se den fulde version med ordentlig formatering.
Hej. Vil lige lave en kort guide for at demonstrere hvor farligt det kan være at have en upload funktion på sin side. ( Det bliver ikke i detaljer )

Lad os sige at karl koder har en fil der hedder upload.php.
Filen giver lov til at uploade .jpg .png og .gif.
Filen checker kun fil endelsen på klient siden og du kan derfor rename dit shell til shell.php%00.jpg serveren læser derefter kun hvad der står inden null byted ( %00 ) og du får shell.php

Du kan også tamper din post data med tamper data til shell.php%00.jpg
Og voila du kan nu gå ind på shell.php. Hvis du kan finde den..

Test sider.
http://www.shellsec.pw/showthread.php?tid=165