error en galeria de imagenes

Iniciado por chupin, 31 Agosto 2007, 03:01 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

chupin

31 Agosto 2007, 03:01 AM Ultima modificación: 31 Agosto 2007, 04:04 AM por chupin
Instale una galeria de imagenes y me sale esto:

Warning: file_get_contents(/home/chupin/public_html/images/Dacioimgz/beauty_1/txt) [function.file-get-contents]: failed to open stream: No such file or directory in /home/chupin/public_html/modules/Dacio_imgGal/comment.php on line 63
Komentarji slike: /images/Dacioimgz/beauty_1/txt

las lineas del comment.php a las que se refiere son estas

line 60:   if ($com == $lang_txt['new']) {
line 61:      echo "<font face=Tahoma size='-1'><b>".ucfirst($lang_txt['add'])." ".$lang_txt['comment'].": </b>".$image2."</font><p>\n";
line 62:   } else {
line 63:      $ct = file_get_contents($commentfile);
line 64:      echo "<font face=Tahoma size='-1'><b>Komentarji slike:</b> line 60:   ".ereg_replace($_SERVER['DOCUMENT_ROOT'],"",$commentfile)."</font><p>\n";
line 65:   }


La galeria que instale es Dacio's Image Gallery , alguien me dice a que se debe el error y como se soluciona?
Gracias


chupin

#1
31 Agosto 2007, 05:20 AM
el archivo se descarga de http://kepicaidej.underground.si/

es un modulo para php nuke
a ver si alguyien lo chequea

HaDeS, -

#2
31 Agosto 2007, 21:35 PM Ultima modificación: 31 Agosto 2007, 22:39 PM por HaDeS, -
La cosa es que el comment.php es incapaz de leer un archivo que estas poniendo en /home/chupin/public_html/images/Dacioimgz/beauty_1/txt, lo mas seguro es que este no existe.
Checa el config.inc en la parte del $dir_pics, y fijate en el directorio del "images", si existe la carpeta "Dacioimgz"
Si hay algun problema me avisas que estoy viendo los script :P
Un comentario personal, el script de esa galeria me parece que esta bien mal de seguridad, por varias cosas: la primera es que los archivos de configuracion estan con una extension que cualquiera que conozca el nombre del archivo la pueda leer, me refiero a los *.inc, la segunda es que el acceso a administrador no tiene forms para loguearse.. asi que cualquiera puede entrar y subir cualquier imagen, y la tercera es que encontre una vuln de xss, en el script upload_block.php

xss:
Para explotarlo podes hacer lo siguiente:
http://[web]/[carpeta]/upload_block.php/"[xss]

full path disclosure:
http://[web]/[carpeta]/index.php?gallery=[Cualquier cosa]

otro xss:
http://[web]/[carpeta]/index.php?gallery="[xss]

otro full path disclosure:
http://[web]/[carpeta]/view-source:http://localhost/dacio/resizer.php?imgfile=[Cualquier cosa]

Tamper data:
http://[web]/[carpeta]/upload_block.php
Linea: <input type='hidden' name='MAX_FILE_SIZE' value='2100000'>

:P saludos ;), ya lo reporte al autor

chupin

#3
1 Septiembre 2007, 00:25 AM
Gracias.. y dime .. conoceras algun buen script para galeria de imagenes en php nuke? alguno parecido al my_egallery
Imprimir
Ir Arriba Páginas1
Acciones del Usuario