No te ofendas tu pero te esta mostrando un Full path disclosure. Lo que no va a hacer es mostrar en público una vulnerabilidad grave.

Le estas intentando dar lecciones a un auditor profesional me parto de risa

Entonces ya somos dos auditores que nos entendemos.

Y pues respecto a mi opinión, no veo que sea un FPD ya que un FPD se consigue mediante load_file() en SQL inyection y mediante inclusión de archivo, cuando el programador hacer algo así:

if( $_GET["var"] )
   include($_GET["var"]. '.php');

Y ese error que veo es solo un problema al llamar la funcion is_admin() ya que no la encuentra definida, y esto porque se accedió al archivo PHP en directo, vaya, se perdieron los otros include(); esenciales para que las funciones se reconozcan.

---

jpmo4 con gusto esperamos que accedas como root, para eso es este proyecto y se hizo publico el post.

---

Por favor si piensan seguir invirtiendo tiempo, minimo digan si entraran a participar.

Saludos !

Si ves el path completo de los scripts hasta el home es un FPD de libro y si, puede mostrarse sin SQL query.

Yo me apunto, veremos como va esto... Luego modifico con lo que vaya viendo...

Cual CMS ?, solo tengo un CMS y es con el que esta basado el Blog, mas no el sitio Turundus.... Además quien dijo que el CMS que esta en la web lo tengo actualizado ? es un código que esta desde el 2009 a poco no piensas que el codigo que bajaste esta des-actualizado ?... Si te estas basando en los fallos del CMS que esta en la web (descargable) entonces pierdes tu tiempo en vano, se ha mejorado bastante.

Me imagino que como ya no pudiste seguir con el reto ahora comentas para evadir el echo que ya no pudiste !... Lastima, este es un reto para demostrar y no parta dimes y diretes.

Y sobre FPD yo he mencionado el concepto correcto y forma correcta, que claro, si no sabes mediante un LFI se puede hacer FPD, ya que en si, el objetivo es el Descubrimiento del Path. Y claro que se como funciona un LFI/RFI, hasta podría darte clases amigo... En fin, gracias por participar, terminaste muy rápido.... Otros van mas avanzados !

---

Vamos haciendo esto amigo kamsky, si en realidad eres un Auditor voy a proponerte algo...

Si vulneras Turundus.net, armas una bitácora y me presentas tus credenciales de Auditor Profesional te doy 50 USD. De lo contrario solo participas por el premio que esta posteado.

Entiéndase por credenciales de Auditor algún documento valido, legal y respaldado por una institución competente que eres Auditor.

Saludos !....