Yo creo que el entorno es como digo [aunque al reves, me corrijo... htmlentities(addslashes())
], pero no se puede bypassear como dices Shell Root porque el codigo fuente es asi
<div id="stuff">
<center>
<img src=images.jpg><br>
<br>
___________________________________________________<br>
<a href=#>Nicolas:</a><br>
Quiero comprar zapatos al por mayor, espero su respuesta.<br>
___________________________________________________<br>
<a href=#>Juan:</a><br>
Estos zapatos si que molan, no como los de Leonpole.<br>
___________________________________________________<br>
<a href=#>Pedro:</a><br>
Me encataron los zapatos, gracias.<br>
___________________________________________________<br>
<a href=#>Don Leonpole:</a><br>
Leonpole es el mejor!! Estos zapatos son muy malos.<br>
___________________________________________________<br>
<br>
Deje su mensaje:
<form method=post>
Su nombre:<br>
<input name=nombre type=text><br>
Su web:<br>
<input name=mensaje type=text><br>
Su mensaje:<br>
<input name=mensaje2 type=text><br>
<input type=submit value=enviar>
</form>
</div>
Cuando se postea algo, queda asi
<? echo '___________________________________________________<br>
<a href="http://ddlr.servepics.com/rd.php?go='.htmlentities(addslashes($_POST["mensaje"])).'">'.htmlentities(addslashes($_POST["nombre"])).'</a><br>'.htmlentities(addslashes($_POST["mensaje2"])).'<br>
___________________________________________________<br>';
Resultado:
" -> \"
' -> \'
< -> <
> -> >
& -> &
al colocar solo la cremilla doble seria
<a href="http://ddlr.servepics.com/rd.php?go=\"">\"</a><br>\"<br>
A todo esto, debci, estoy en el puesto 99 y tu?
Autor
En línea
