#lfi

메모 저장소 Flask 앱. 업로드 경로는 파일명에 '..'가 들어가면 막지만, 읽기 경로(/read)에는 같은 검사가 빠져 있다. uploads 디렉토리를 기준으로 경로를 그대로 이어붙이는 탓에 /read?name=../flag.py 한 줄로 상위 디렉토리의 flag.py를 그대로 읽어 플래그를 가져온다.

image.jsp의 path traversal(LFI)로 /flag를 읽으려다 404에 막힌다. /flag가 읽기 권한 없는 실행 전용 파일이었기 때문. LFI로 conf/tomcat-users.xml의 진짜 매니저 비밀번호를 유출하고, Tomcat Manager에 웹셸 WAR을 배포해 RCE를 얻은 뒤 /flag를 "실행"해 플래그를 뽑았다.