Réaliste

Bonjour, ça fait quelques temps que je galère sur ce challenge.
J’ai essayé d’installer le CMS en local, mais le comportement de celui-ci vis-à-vis de la faille LFI n’est pas du tout le même.
J’ai analysé le code, qui est assez incompréhensible, surtout moi qui ne suit pas un grand fan des regex, et je n’ai rien trouvé qui pourrait m’aider.

Aidez-moi, s’il-vous-plaît :(

Le code source du CMS étant de plus en plus difficile à trouver sur internet, il est fournit ici : https://www.root-me.org/IMG/zip/cmsimple3_0.zip. Concentre toi sur l’analyse du code source

Justement, j’ai utilisé celui fourni dans l’énoncé, mais lorsque j’utilise cette faille : [Th1b4ud : ok c’est la bonne] cela ne fait rien. Mais si je dois absolument me concentrer sur le code, j’aurais juste une demande : faut-il que j’analyse les regex ?

Non concentre sur le code source des pages "sensibles" de l’application

Bonjour,

Après plusieurs tests je constate que la version fournie du code ne se comporte pas de la manière de celui qui tourne sur rootme.
J’ai été jusqu’a installer un docker avec du php 5.2 (version deprecated de eregi dans le code).
La faille qui concerne [Th1b4ud : spoil] ne semble pas exister sur la version 3.0 et 3.0-1.

Je suis bloqué...

Si la vulnérabilité est bien présente sur la version présente sur root-me