Como es un link para descargar un archivo .php?

Skeletron · 9 Diciembre 2009, 01:31 AM

Hola gente..
Mi pregunta es la siguiente:
Supongamos que desde mi web, quiero que me DESCARGUEN, un archivo .PHP... no que se "ejecute"... o sea.. no quiero ABRIR un archivo.php, sino, DESCARGARLO..

Como hago???

Un link del tipo:
<a href="index.php">click aca</a>, lo que hace, es ABRIR esa web.. pero yo quiero que el usuario la DESCARGUE.. a su pc..

COmo hago?

O como hago para poder VER ese codigo en el browser.. o sea. que me VEAN el codigo PHP que tengo dentro del archivo.. que no se EJECUTE el php en su servidor APACHE, sino que se muestre como texto.. como hago?

raul338 · 9 Diciembre 2009, 01:33 AM

y que se guarde con extension PHP ???? mm..medio imposible

por que no lo "renombras" a TXT y fuerzas la descarga

EDIT: o sino, lee tu propio archivo PHP y "echa" (muestra) el codigo en si :E

Skeletron · 9 Diciembre 2009, 01:40 AM

Amigo. Encontre una vulnerabilidad en una web... Por el metodo GET, le pasan el nombre de una imagen a ejecutar.. a mostrar..

Yo logro hacer que se direccione a el index.php...

Pero quiero DESCARGARLO... no ABRIR el index.php

No es para mi web.. es obvio que quiero "valeme" de una vulnerabilidad..

Jubjub · 9 Diciembre 2009, 01:44 AM

No, por mucho que puedas cambiar el contenido de la propiedad src de la etiqueta img no significa que puedas bajar phps. De hecho no lo clasificaria como vulnerabilidad grave.

A menos que no sea asi, y que utilicen un metodo estupido para mostrar imagenes, en todo caso cuentanos mas

Skeletron · 9 Diciembre 2009, 01:55 AM

Puedo escribir en el codigo fuente, un <script>xxxxxxxxxxxxxx</script>
El unico problemita, es que al poner un ' o ", le agrega una \ antes...

nada mas...
Algun codigo javascript para mostrarme el contenido del archivo?? o algo?? tengo acceso a escribir LO QUE QUIERA en el codigo fuente...

Jubjub · 9 Diciembre 2009, 02:02 AM

Nada, modificando el html no llegaras a ningun sitio, javascript es del lado del cliente, no lo olvides

SIgue investigando, si tienen ese fallo quizas haya dejado pasar alguno de mas importancia

Skeletron · 9 Diciembre 2009, 02:48 AM

Y NO HAY NINGUN TAG DE HTML!!!?!?!?!?!?

Ningun tag de HTML que me FORCE la descarga de un archivo?? Ningun codigo fuente de nada??? imposible!

Skeletron · 9 Diciembre 2009, 02:53 AM

Miren:
http://geeks.ms/blogs/sergiotarrillo/archive/2007/03/16/11769.aspx
Ahí utilizan algo de: http://www.w3.org/Protocols/rfc2616/rfc2616-sec19.html#sec19.5.1

Miren:
http://www.mcanam.com/articulos/PHP.php?id=9

Skeletron · 9 Diciembre 2009, 02:55 AM

Ni un codigo html que llame a un archivo .php de mi servidor, y lo ejecute en el sullo?

nada por el estilo???

Tiene que haber algo para colocar en algun lado, por ejemplo, en el header, o algo... que me OBLIGUE a descargar el archivo... no puede ser que no!!!....

Red Mx · 9 Diciembre 2009, 03:17 AM

Estoy en contra total de aprovechar vulnerabilidades para afectar, reportala al webmaster.

Para que descargue un archivo .php tienes que forzar la descargar desde otro php.

El servidor tiene configurada las extensiones "que son paginas" php html htm etc puedes cambiarlas y configuras el archivo a la que tu quieras.

Es por eso que no puedes descargar <a href="pagina.php">Descarga el PHP</a>

PERO puedes meter un shell si tienes un bug RFI http://es.wikipedia.org/wiki/Remote_File_Inclusion

Y bueno tantas cosas que hay en la vida