Web - Serveur

vendredi 13 janvier 2017, 12:19  #1
[CLOS] File upload - double extensions
Mafiew
Mafiew
  • 3 posts

Bonjour,

Quelqu’un pourrait verifier que le chall est toujours ok ?

J’ai un 403 Forbidden quand j’essaye d’ouvrir le fichier que j’upload (peu importe le fichier)

Merci,

Boborn

vendredi 13 janvier 2017, 13:10  #2
File upload - double extensions
cedjy
cedjy
  • 1 posts

Idem pour moi.

jeudi 19 janvier 2017, 17:29  #3
File upload - double extensions
FL0RlAN
FL0RlAN
  • 4 posts

C’est bon ca marche bien , pour moi le chall est ok.

mardi 31 janvier 2017, 12:42  #4
File upload - double extensions
Brakito
Brakito
  • 2 posts

Bonjour à tous,

C’est mon premier post donc j’en profite pour remercier toute l’équipe de Root-me ainsi que la communauté pour la qualité du site, des challenges, de la doc associée ainsi que pour le forum  🙂

Concernant ce challenge, je me bien suis renseigné sur la faille File upload - double extensions et j’arrive sans problème à uploader mon fichier qui contient du code PHP. Toutefois comme le dis

l’énoncé, je dois "Récupérez le mot de passe de validation dans le fichier .passwd à la racine de l’application."

Ma question est la suivante : Pour récupérer le mot de passe de validation faut il écrire un script shell PHP qui me permet de récupérer ce fichier ?

Je vais continuer à chercher de mon côté.

Merci  😉

samedi 25 mars 2017, 17:10  #5
File upload - double extensions
Unixou
Unixou
  • 1 posts

Brakito, oui il faut cree un script.

dimanche 16 avril 2017, 17:31  #6
File upload - double extensions
Mika go rev
Mika go rev
  • 11 posts

bonjour, j’ai enfin pu acceder au fichier passwd mais le site ne m’y autorise pas... voici ce qu’il me dit :

[Th1b4ud : spoil]

lundi 24 avril 2017, 17:49  #7
File upload - double extensions
huissardux
huissardux
  • 7 posts

Le challenge est assez simple dans son ensemble. L’intégralité de la solution est définie dans le titre et l"noncé, d’ailleurs je me suis permis d’en donner une solution à la fin.

Je pense que vous avez trouver l’essentiel de ce que vous devez accomplir pour valider le challenge qui est :

"Votre objectif est de compromettre cette galerie photo en y uploadant du code PHP.
Récupérez le mot de passe de validation dans le fichier .passwd à la racine de l’application."

Donc, oui coder son code PHP est une solution, il y en a plusieurs, le truc est de comprendre l’énoncé puis de travailler dessus. Google et le fichier joint peut servir à mieux cerner la solution.

dimanche 5 janvier 2020, 23:16  #8
File upload - double extensions
eldoir
eldoir
  • 3 posts

Bonjour à tous,
Désolé de nécro ce topic mais je ne voyais pas comment faire autrement,
Il me semble que le dernier message de Mirasio (le #6) contient un long message d’erreur PHP qui en révèle pas mal sur comment parvenir à exécuter du PHP sur le serveur... (checkez l’extension du fichier dans le message d’erreur par exemple), ainsi que l’endroit où chercher le fichier de passwd
Merci de votre attention !

dimanche 5 janvier 2020, 23:44  #9
[CLOS] File upload - double extensions
Th1b4ud
Th1b4ud
  • 1636 posts

C’est supprimé merci ! J’en profite pour le fermer

lundi 6 janvier 2020, 10:52  #10
[CLOS] File upload - double extensions
Ech0
Ech0
  • 328 posts

Bonjour,

J’en profite juste pour rappeler qu’il est plus clair pour tout le monde si chacun fait un post pour sa propre question, au lieu d’envoyer ses questions dans le post d’un autre.
Aussi, il serait preferable de ne pas donner d’indices que l’auteur du post n’a pas demandé.

Je garde le post fermé.