Доброго утра!
Нашел инъекцию в профиле + LFI через MySQL.
Для примера, часть конфига nginx'а и несколько таблиц:
PHP код:
location ~* ^/wowarmory/[_0-9A-Za-z-]+\.xml {
# deny all;
root /var/www/cpmop.wowcircle.com/httpd;
types { }
default_type text/xml;
rewrite ^/wowarmory/(.*)\.xml /wowarmory/$1.php?$args last;
}
location ~* ^/wowarmory/.*\.xsl {
# deny all;
root /var/www/cpmop.wowcircle.com/httpd;
types { }
default_type text/xsl;
}
PHP код:
auth_mop.account - username, sha_pass_hash, newpassword, email
auth_mop.account_access
auth_mop.account_banned
auth_mop.account_log_ip
auth_mop.account_premium
auth_mop.account_spell
auth_mop.firewall_farms
auth_mop.ip_banned
auth_mop.ip_to_country
auth_mop.log_vote
auth_mop.logs
auth_mop.mails
auth_mop.realmcharacters
auth_mop.realmlist
auth_mop.transferts
auth_mop.transferts_logs
auth_mop.uptime
auth_mop.vote
Кто-нибудь из тех.поддержки напишите на мыло, сообщу детали.
SQL-Инъекция.
Ответить с цитированием