Rating:

http://admin-panel.localに到達するのが最終的なゴール。
Burp Suiteを起動しサイトを巡回するとPOST /api/view.phpで{"post":"file:///posts/Azita"}というリクエストが飛んでいる。
SSRF脆弱性ということだろう。
{"post":"http://admin-panel.local"}にして送るとフラグが得られる。

Original writeup (https://blog.hamayanhamayan.com/entry/2023/09/04/232413).