Mô tả
Chúng ta phát hiện hai endpoint mới: /private (báo lỗi IP) và /customers/new-account-page (cho phép chọn avatar).
Tiếp cận
- Tạo tài khoản, đăng nhập và truy cập
/customers/new-account-page. - Xem mã nguồn, ta thấy form chọn avatar chứa đường dẫn đến ảnh.
- Khi cập nhật avatar, ảnh được hiển thị bằng data URI scheme (base64 encoded).
- Sử dụng “Inspect Element” để thay đổi giá trị của một avatar thành
private.
- Cập nhật avatar, ứng dụng báo lỗi: đường dẫn không được bắt đầu bằng
/private.
- Để bypass, chúng ta sử dụng directory traversal. Thay đổi giá trị avatar thành
./private.
- Xem mã nguồn, avatar hiện tại chứa nội dung của
/privateđã được mã hóa base64. Giải mã nó sẽ ra flag.
Flag
Success
THM{YOU_WORKED_OUT_THE_SSRF}