Realista

Martes 21 de marzo de 2017, 22:27  #1
P0wn3d
ruben
ruben
  • 1 posts

saludos a todos
no se a quien saludo xq no hay ningun post en foro, pero buneo.

llevo unos dias luchando con este reto, la verdad es q me esta costando mas de lo q pensaba, escribo para cambiar impresiones, lineas de investigacion, ideas, ... ya sabeis.

se cual es la version de cmsimple q corre en el reto, me descargue una igual, y estoy estudiando el codigo. ahora todos dires aprende php!!!
estoy en ello

aun no he identificado el parametro vulnerable a lfi, y eso es pq no llego a razonar las respuestas del server.
m es plico mejor, si le paso ?f=../foo.php me devuelve un codigo 200 y una pagina bien formada
si el archivo no exite, me devuelve lo mismo

tb probe php://filter y no obtengo el resultado deseado

estudiando el source (cms.php), busco cadenas tipo isset, include,... y encuentro parametros que PIENSO no son vulnerables a lfi

tb busque en google, y rebusque co otros buscadores, CVE-2008-2650
puede ser que no sepa implemetarla, pero no consigo la flag

alguno esta en mi misma situacion???

que linea de investigavion seguis????

voy bien encaminado????

Miércoles 11 de abril de 2018, 19:51  #2
P0wn3d
Kros
Kros
  • 5 posts

Hola Ruben.
Yo estoy en la misma situación, he probado obtener varios archivos y nada. Lo he probado poniendo el byte nulo al final, con extensión, sin extensión, escalando directorios, sin escalar y nada.
Creo que la clave está el parámetro LFI vulnerable, dork o como le quieras llamar.
Tambien he googleado varias cosas sobre CMSimple y vuknerabilidades LFI de éste, pero nada. Seguiré intentando a ver.
Saludos.

Jueves 12 de abril de 2018, 20:21  #3
P0wn3d
Kros
Kros
  • 5 posts

No sé si ya lo habrás resuelto o no, yo todavía no y como más continuo más confuso estoy. Quede claro que sou un simple aficionado y viejo :D
En fin creo, y sólo creo, que el "dork" vulnerable es "sl=" (language select) el problema que te pone en el directorio "language" y sí escala al requerir un archivo PHP, sin poner la extensión ya que la pone sola, y NULL BYTE, no funciona, ya que he intentado requerir el archivo log.txt y ni escala directorio, con lo cual creo que no es entorno 100% vulnerable, sinó que es simulado.
Esta claro que el password está en un archivo PHP, y si requieres este archivo: ?sl=nombrequesea sí escala directorio, pero claro, al ser un archivo PHP no se deja leer, directamente lo lee el servidor y te muestra una página HTML.
Con lo cual, creo que la solución anda por subir un archivo en "downloads", con mi falta de experiencia, no sé si seria conveniente un script SH tipo: "cat ../nombrearchivo.php" y ejecutarlo (si se deja) mediante LFI. Mi investigación en estos momentos anda por ahí, pero no sé si es correcto, ya que como he dicho antes, no tengo el reto resuelto ni mucho menos, y me he leído medio google.
En fin, si alguien puede dar una pequeña pista... agradecido, sinó... probablemente olvide el reto, pues es ura diversión y me está dando demasiados dolores de cabeza.
Salud y rock !!!

Nueva respuesta Nueva respuesta   Nuevo tema Nuevo tema