Réaliste

Bonjour à tous,

J’ai du mal a comprendre comment récupérer les infos me permettent de récuprer le login ou le cheminement logique pour l’avoir.

Si une âme charitable veux bien me guider.

Merci d’avance.

Déjà tu sais que le site est basé sur un cms, quelques recherches devraient te permettre d’avancer !

Bonjour, pour réussir ce challenge devons-nous créer un exploit ? et si non, puis-je avoir une astuce :).
Merci bonne soirée.

Bonjour,
est ce qu’il faut regarder du coté d’un fichier dans lequel le mot de passe serait en clair (dixit la doc), mon pb c’est que je n’arrive pas a accéder a ce fichier ( pas facile de parler sans spoiler )

dites moi si je fais fausse root ou pas 😉
merci

salut,
non pas besoin de coder un exploit
oui il faut accéder à un fichier dans lequel apparait le mot de passe

Help !!!
Est-ce que quelqu’un a réussit a upload un fichier ?
Cela fait un bon moment (plusieurs jours) que je vais et viens sur cette épreuve et après de nombreux test et analyse (j’ai recup les sources de la version 3.0 et regardé ligne / ligne) je ne voit pas quoi faire d’autre que d’up un fichier et via la LFI lire le fichier qui ouvre la porte.
Si quelqu’un a un conseil je suis preneur !!!!
Merci

Regarder les sources est une bonne idée.
Indice : pas besoin d’uploader de fichier. Il y en a un qui t’intéresse, trouve un moyen d’y accéder.

bonjour
Je reste bloquer aussi :
Je ne voit pas comment exploiter une LFI sans page ex : .........php ?page=
j’ai exploiter du coter du CMsimple au niveau du langage mais missing :)
Par contre es ce normal qu’il y est une erreur au niveau template impossible à ouvrir
Un petit coup de pouce SVP merci

Personne pour un coup de pousse
merci

Bonjour !

vous en êtes où ?

je pense avoir trouvé la variable permettant d’injecter la LFI.

je l’injecte pour essayer d’aller taper dans le fichier de config, mais j’ai une page blanche quand j’appelle ce fichier de config.

un indice ?

Regarde du côté des vulnérabilité du cms une parti de la réponse est dedans
Via Google

je pense avoir trouvé cette partie justement.

mais lorsque j’essaie d’exploiter la LFI ( j’ai téléchargé et lu le code source de l’appli) , je tombe sur une page blanche. ( et non pas sur un message d’erreur comme quoi la page.php is missing)

il me manque un p’tit quelque chose mais ça bloque.

il y a 2 threads sur cette épreuve...

je recopie ce que j’ai mis sur l’autre thread :

mais lorsque j’essaie d’exploiter la LFI ( j’ai téléchargé et lu le code source de l’appli) , je tombe sur une page blanche. ( et non pas sur le message d’erreur comme quoi la page.php is missing) donc ça me parait déjà bien.

il me manque un p’tit quelque chose et ça bloque.

Je remonte le topic simplement pour savoir si le challenge est toujours réalisable ?

Bon je pense que c’est moi qui passe à coté de quelques choses mais comme nous avons testé à plusieurs et que l’on ne trouve vraiment pas..

Je ne sais pas si c’est moi qui cherche trop compliqué. J’ai bien compris le LFI (enfin j’espère) mais je fais choux blanc =)

Si quelqu’un peut juste me confirmer la validation du challenge, sans forcément donner d’indice =)

Merci d’avance !

PS : Je précise que j’ai bien consulté les sources !

Bonjour
Vient de faire l’essai
Oui fonctionne
Bye

Et bien je vais laissé quelques jours avant d’y revenir , je ne dois pas avoir les bonnes idées =D

En tout cas merci.