Réaliste

Bonjour,

Je me casse les dents sur ce challenge.

J’ai bien compris quelle variable est vulnérable à la LFI.

J’ai bien compris quel fichier je dois lire.

Après plusieurs recherches, j’ai compris que je dois jouer avec plusieurs paramètres spéciaux dans l’URL pour obtenir le contenu du fichier.

Beaucoup recommande d’installer la version vulnérable de CMSimple en local, chose que j’ai faite.

Mon problème est que la variable vulnérable est ignorée en local, je ne peux pas tester mes payloads !

Avez-vous eu le même problème avec votre installation locale ?

Finalement je l’ai eu !

J’ai perdu beaucoup de temps inutilement. Pour les autres qui galèrent, regarder attentivement la description de la vulnérabilité que vous trouverez sur Google.

Connaître comment est structuré le CMS (les fichiers) est important, mais la lecture du code source n’est pas nécessaire même si elle peut aider.

Et puis ne cherchez jamais loin, ça n’est pas compliqué !