==Description==

La faille dite "Full Path Disclosure" est la divulgation du chemin d'accès complet d'un script vulnérable.
Il est exécuté par injection des caractères inattendus dans certains paramètres d'un page web.
Le script ne prévoit pas le caractère injecté et renvoie un message d'erreur contient des informations de l'erreur, de même que le chemin de travail du script ciblée.

==Usage==

Le challenge se présente sous cette forme, une page web avec une URL terminant comme ceci:

index.php?page=1

Nous allons injecter les caractères suivant pour révéler le chemin d' accès de la page :

index.php?page[]=1

Résultat:

Warning: opendir(Array): failed to open dir: No such file or directory in /opt/lampp/htdocs/challenges/reconnaissance/4/index.php on line 84

==Astuce de WarLocG==

Je rajoute en bref pour le FPD Full Path Disclosure (sans array).

Tout d'abord, si on a noscript, faut le désactiver ou désactiver les options car sinon il va tout bloquer.
Aussi se rendre sur about:config et chercher la ligne noscript.allowURLBarJS et le mettre temporairement a true

Après quoi on peut démarrer l'épreuve.

Pour obtenir le FPD, on va injecter un javascript dans la barre d'URL qui va en fait réécrire sur le PHPSESSID.

Dans la barre d'url (on efface tout ce qui s'y trouve avant), on rentre simplement=> javascript:void(document.cookie="PHPSESSID="); on lance et on rafraîchit.

Voila, c'est comme je l'ai dit plus haut, en bref quoi.

Source: http://hakipedia.com/index.php/Full_Path_Disclosure