Ilegaler Zutritt zum FTP über Datei-Upload-Funktion

Also an der dem Server liegt es nicht. Habe es auf verschiedenen Servern getestet.

Es gibt zwar laut Versionsbeschreibung eine "neuere" Version, aber das hilft reichlich wenig. Das CMS ist seitens der offiziellen Entwicklern tot. Es lebt von seinen Usern. Doch das hat hiermit nichts zu tun.

Ein include findet nicht statt. Hab ich ja bereits nachgeschaut und auch gepostet. Die Datei wird direkt aufgerufen und geparsed. Die Eintragungen, die du nanntest, Dr.Dau, sind nirgendwo anzutreffen.
Meiner Meinung muss die Lücke im CMS sein. Die Frage ist halt nur wo.
 
Wenn das nicht übers CMS irgendwie mitgeloggt wird, lässt sich das überhaupt nicht herausbekommen :(

Welche Version läuft denn bei dir, dann könnte man das mal daheim testen?
 
Es ist schon hahnebüchen, aber über die include.php kann man wirklich beliebige Dateien über den Pfad includen...also auch aus dem Downloadverzeichnis.

Workaround:
Code: 
if(isset($_REQUEST['path']) && preg_match('|/download/|',$_REQUEST['path']))die('pöhser pup');
 
Stylisch -.- Jetzt wäre mir noch ein rätzel was du/ihr macht, wenn der einfach eine PHP-Datei hochladen würde ^^

Oder kannst du diese nicht hochladen lassen

P.S.: finds ja immer wieder geil wie bestimmte Lücken ausgenutzt werden könne -.- zumindest wenn es bei mir nicht der Fall ist :rolleyes:
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück