Réaliste

Bonjour,
Je suis bloqué sur le challenge P0wn3d. J’ai vu dans le code qu’on peut utiliser un certain paramètre GET pour remplacer le fichier de langage.
J’aimerai lire le fichier ********.php mais son inclusion ne permet d’exécuter son code. J’ai essayé avec un filtre php qui encode en base64 le contenu du fichier mais il n’est pas pris en compte et le serveur me renvoit le "file missing" habituel ...
Quand j’essayes d’accéder directement à la partie administration j’obtiens une page blanche, je ne vois pas comment je pourrais l’utiliser.
Sinon j’ai vu qu’on peut pop une XSS avec ce paramètre mais je ne pense pas qu’elle serve à grand chose.

Merci d’avance pour vos réponses.

Une vulnérabilité affecte cette version du CMS. L’as tu trouvé ?

Oui, je suis quasiment sûr, mais je n’arrive pas à trouver comment l’utiliser après tout ce que j’ai fais ...

Please help me too...
I found the flaw and I’m stuck. don’t know how to use it from here :/