[Bionik]

Bonsoir !


Voila, je me permets d'écrire sur ce forum car il m'est arrivé un truc assez bizarre,
j'étais sur un site, et je suis arrivé à utiliser une faille include, jusque là rien de bien folichon... en tout cas j'arrivais très bien à inclure n'importe quelle page sans aucun problème, mais lorsque j'ai voulu insérer un script php, plus moyen...

Je vois juste le code qui apparait, mais il n'est pas éxecuté, pourquoi ?
Le site quant à lui bien entendu, gère le php, et je me demande comment ça se fait ?

Merci d'avance, et bonne soirée

[Luther]

Essaye ceci :

Code:

<?php
echo "<?php";
phpinfo();
echo "?>";
?>

[Bionik]

Il y a toujours rien,

je comprends pas pourquoi, ça serait dû à une configuration spéciale de PHP ? ou je sais pas...

[_o_]

je comprends pas pourquoi, ça serait dû à une configuration spéciale de PHP ? ou je sais pas...

Ce que tu cherches à faire n'est PAS possible.
Pour les explications, reporte-toi à la façon dont fonctionnent les serveurs web, et note la distinction entre le code source et les variables manipulées par ce code.

Ah, et ça n'a rien à voir avec un include, ça. Ça ressemblerait plutôt à une XSS.

[Bionik]

nan mais de toute façon, la configuration de PHP, ça n'a strictement rien à voir,

enfin j'veux dire, à mon avis y'a aucun problème là dessus;
Pour les explications ? j'ai pas comprit ce que tu voulais me dire, j'ai très bien comprit le code source que m'a filé Luther,

et si c'est une faille include, je peux inclure à travers ce site n'importe quel page, mais le code n'est pas executé.

Cya

[micka13]

Ca serait pas un fopen ?

[WiebeN]

nan mais de toute façon, la configuration de PHP, ça n'a strictement rien à voir,

enfin j'veux dire, à mon avis y'a aucun problème là dessus;
Pour les explications ? j'ai pas comprit ce que tu voulais me dire, j'ai très bien comprit le code source que m'a filé Luther,

et si c'est une faille include, je peux inclure à travers ce site n'importe quel page, mais le code n'est pas executé.

Cya

Ce n'est pas parce que tu peux avoir n'importe quelle page que c'est forcément un include(), il semble même que ce ne soit pas le cas. Le script récupère surement simplement la source de la page demandée et l'affiche, donc le code php n'est pas exécuté.

[Bionik]

Je vois ce que tu veux dire,

mais la syntaxe au niveau de l'url est comme ça :

site.com/index5.php?Page=index6.php

donc je sais pas, je trouve ça spé..

[_o_]

mais la syntaxe au niveau de l'url est comme ça : site.com/index5.php?Page=index6.php

Ah, donc effectivement, ça ressemble à un include, toutes mes excuses.
Mais voilà, ça ne veut rien dire de plus. Ça peut-être un include, ou pas. Qu'est-ce qui te dit que le contenu du fichier inclu n'est pas du HTML¹ ?
La seule façon de le savoir est de jouer avec la page et de voir ce que ça donne.

Par contre, je te déconseille fortement de poster l'URL (et de toute façon, les modérateurs la censsureraient). Comme le site ne semble pas t'appartenir, je ne peux que te conseiller la prudence : je suppose que tu sais ce que tu risques si tu parviens à pénétrer le site (ou le casser).

¹: on a déjà vu pire, notamment chez certains WebOS prétendument révolutionnaires...

[hisoka69]

Un truc tout con... ça serai pas par hasard une frame ?
ça expliquerai pas mal de chose...
si dans le code source de la page en question il y a un <iframe>... bingo...
Et rien à voir avec une include...

[Bionik]

Merci de prévenir, de toute façon je ne posterais en aucun cas le site pour des raisons de sécurité, parce que j'ai pas envie qu'ils soient défacés, je trouve ça inutile, et si il y a un problème, je préfère autant les prévenir pour qu'ils fixent le problème;

En tout cas, merci d'avoir précisé, c'est sympa.
C'est clair que le fichier .php pourrait contenir que du HTML, on pourrait rien en savoir car même en regardant que la source, on voit que le HTML et non pas le code PHP, c'est pour ça que je suis plutôt troublé là dessus..

pour info, y'a pas d'iframe