가장 킹받는 문제만 라업씀.
처음에 submit이랑 입력창만보고 csrf나 stored xss 라고 생각했으나, jinjja가 눈에 들어왔다.
jinjja? 아하 jinja2. SSTI 였구나...
그래도 SSTI의 국룰 체크방식. {{7*7}}을 갈겨본다. 역시는 역시 되는구나. 그렇다면 내부를 좀 들여다 보자. 위 공격코드에서 url_for 을 통해 페이로드를 작성해보자.
{{url_for._globals_.os._dict_.listdir('./')}}
위 페이로드를 통해 문제 위치에 있는 모든 파일을 열람해 보도록 하자.
누가봐도 수상해보이는 onion.txt 그리고 onionpptx.txt가 있다. 나는 onion.txt 를 이용하여 풀었는데 onionpptx.txt로도 풀 수 있었다고 한다...
{{url_for._globals_._builtins_.open('onion.txt').read()}}
위 페이로드를 통해 onion.txt 파일을 열어봤다.
다시봐도 킹받네. 뭘 또 준다, 저거 다운로드 받으면 pptx을 준다.
스테가노그래피를 해보자. "?" 뭔가 이상하다. 그래서 저 이미지 헥스로 까봤는데 플래그 있었음. 하지만 fakeflag 였다. 그 이후 pptx로 별의 별짓을 다하다가. 7zip으로 pptx 까서 원본 이미지 파일을 얻었다. 역시는 역시 ? 이미지는 그래도 fakeflag였고 다른 파일들 찾아보던 도중에..