Konkret typo3conf/localconf.php, aber auch andere Dateien, wenn man deren Namen per Kommandozeilenargument angibt.

Ja, das dachte ich mir - soweit ich das verstehe ist es das übliche TYPO3-JumpURL-Exploit:

Beliebiges File aufrufen, Fehlermeldung auswerten und juHash rauslesen, juHash an den URL anhängen und nochmal aufrufen: Quelltext des Files wird ausgeliefert.

Das ist in dem Script nicht implementiert.

Danke.

(Ob das grundsätzlich mit der Lücke geht oder nicht, ist aus dem Exploit nicht erkennbar.)

Das weiß ich leider auch nicht, aber die localconf.php zu lesen reicht ansich aus um unter bestimmten umständen Vollzugriff über die TYPO3-Umgebung zu erlangen ist das dann eine Sache von Minuten.