Urmia CTF 2023 web writeup

CTF 문제 풀다가 내부망 침투와 아주 살짝 관련된 문제가 있어서 써본다.

 

E Corp.

admin-panel.local 로 들어가야 flag가 나오는 문제인데, ecorpblog.uctf.ir 서버를 거치지 않고는 못 들어가는 서버다.

ecorpblog 서버에 접속을 하면

 

이런 화면이 보이는데, 글 같은 것이 보인다. 해당 글을 클릭하게 되면 

 

이렇게 글이 보인다.

이거는 처음엔 어떤 유형인지 감이 잘 오지 않았는데, 여기서 스크립트를 잘 보면 답이 나온다.

 

api 가 존재하며, 파일 요청 시 /api/view.php 에 file:/// 을 사용하여 파일을 요청하게 되는데, 여기서 설마 LFI가 터질까 라는 생각을 했었고, 터졌었다.

 

이렇게 /etc/hosts 파일을 잘 불러오는 걸로 보아 음... RCE를 해야하나? 싶었는데, 내부망에서만 운영을 하는 서버라면, hosts 파일에 등록이 되어 있을거다! 라는 생각으로 hosts 파일에 기입되어 있는 172.23.0.3 을 요청했지만, localhost 로 보였다.

 

그러나 172.23.0.2 를 요청하니 flag가 나왔다.