Réaliste

vendredi 28 février 2014, 16:15  #1
CMSimple
warlock
warlock
  • 11 posts

Salut à tous.

J’essaye actuellement de résoudre l’épreuve CMSimple.
J’ai téléchargé les versions : 3.0, 3.1, 3.3

mais impossible de mettre la main sur la 3.2 et il semblerait que ce soit celle ci qui soit utilisée car, la 3.3 affiche :

Last update :
April 04. 2011 11:21:08

la 3.1 affiche :

Last update :
April 02. 2008 00:00:00

Et le site http://challenge01.root-me.org//realiste/ch6/ affiche :

Last update :
December 27. 2011 17:59:59

Et aussi est ce normal que dans le fichier des changements contenu sur le site : http://www.cmsimple.org/archives/cmsimple_old/?Downloads:Changelog

Que la vulnérabilité : "Local File Inclusion / Arbitrary File Upload bug fixed June 1. 2008."
Soit fixé en 3.1 ... ?

Eclairez moi !

vendredi 28 février 2014, 16:35  #2
CMSimple
warlock
warlock
  • 11 posts

Rectification,
Donc j’ai aussi téléchargé la version 3.4 (Last update :
November 05. 2012 13:05:58)

Mais elle semble trop récente, je pense donc que c’est la version 3.3 (Last update :
April 04. 2011 11:21:08)

Mais bien entendu comme le dit le fichier de changement :
http://www.cmsimple.org/archives/cmsimple_old/?Downloads:Changelog

La vulnérabilité "Local File Inclusion / Arbitrary File Upload bug fixed June 1. 2008." a été fixé.
Je vérifie, et oui c’est bien fixé, plus de LFI.
Au contraire du challenge, où cette variable n’est pas fixé et est exploitable.

La version 3.3 n’est donc pas la version utilisée ... Mais alors qu’elle version est-ce ?

vendredi 28 février 2014, 17:25  #3
CMSimple
Anonyme

salut
c’est la version 3.0 qui installer ici
http://www.cmsimple.org/archives/cmsimple_old/?Downloads:Old_versions

vendredi 28 février 2014, 18:53  #4
CMSimple
warlock
warlock
  • 11 posts

Ok merci bien.

samedi 1er mars 2014, 00:00  #5
CMSimple
warlock
warlock
  • 11 posts

Ca va mieux tout de suite ... Challenge validé.

samedi 31 mai 2014, 15:15  #6
CMSimple
twisterblack
twisterblack
  • 13 posts

Bonjour,
J’ai installer cmsimple sur mon serveur web, avec la même version que celle du challenge,
Mais j’ai beau faire pleins de tests je ne trouve que des erreurs minimes ( Application error disclosure et directory browsing.
Mais je ne vois pas de LFI ...
A part peut être dans la page de login, dans les paramètres POST ? mais bon j’ai beau avoir essayer ça aussi, ça ne fonctionne pas. :(
Quelqu’un pourrait me conseiller svp ?

edit : J’ai trouvé la LFI, le fichier interressant qui va avec, maintenant ce que je cherche c’est afficher le contenu de ce fichier ! lol

Nouvelle réponse Nouvelle réponse   Nouveau sujet Nouveau sujet