Root-me

Install Files

You know phpBB ?

The title gives a pretty good idea of what we’re looking. It’s most probably the installation folder of phpBB.

Trying the obviously thing we end up with the url http://challenge01.root-me.org/web-serveur/ch6/phpbb/install/. There’s a single file called install.php inside.

curl http://challenge01.root-me.org/web-serveur/ch6/phpbb/install/install.php
<html>

<head>
  <title></title>
</head>

<body><link rel='stylesheet' property='stylesheet' id='s' type='text/css' href='/template/s.css' media='all' /><iframe id='iframe' src='https://www.root-me.org/?page=externe_header'></iframe>

Bravo, vous venez de decouvrir une des nombreuses failles de phpBB.<br>
<br>
Cette faille est en fait un oubli du Webmaster qui aurait du enlever<br>
ces dossiers. Ils contiennent les pages d'installations du forum phpbb.<br>
Ce genre de chose n'existe plus car les développeurs mettent en place des<br>
systèmes de vérification pour faciliter la tâche aux plus têtes en l'air<br>
Ce qu'il faut comprendre par contre c'est qu'on découvre souvent beaucoup de choses<br>
en trifouillant des URL...<br> 
Grâce à elles, vous pouvez remettre à zéro le forum, et changer tous les passwords<br>
administrateur, étant donné que vous reinitialisez le forum.<br>
Vous avez donc ensuite un contrôle total du forum !!<br>
<br>
Le mot de passe pour valider est : karambar<br>
<br>
Bon courage !

</body>