Hello there, ('ω')ノ

 

カスタムエクスプロイトを使用したサーバサイドのテンプレートインジェクションを。

carlosのホーム ディレクトリから/.ssh/id_rsaファイル を削除せよとのことで。

 

まずは、ログインして。

 

 

アバターをアップロードして。

 

 

コメントを投稿して。

 

 

正常動作確認を。

 

 

次にアバターの画像ファイルではなく、PDFファイルをアップロードすると。

 

 

下記のエラーメッセージが。

これでメソッドとcarlosに関するファイルがわかって。

　User->setAvatar('/tmp/000017508....', 'application/pdf')
　thrown in /home/carlos/User.php on line 28

 

また、アカウント情報で名前を変更してみると。

 

 

投稿した名前も更新すると変更されることが確認できて。

 

 

ということで、アカウントを変更するリクエストをリピータへ。

 

名前のパラメータを下記に変更してSendすると。

　user.setAvatar('/etc/passwd') 

 

投稿ページにはエラーメッセージが。

どうやら２番目の引数に画像の MIME タイプが必要らしく。

 

パラメータに下記の引数を追加して再度、Sendして。

　user.setAvatar('/etc/passwd','image/jpg') 

 

 

投稿ページを更新すると。

 

 

/etc/passwdファイルの内容が返さたので。

これで、任意のファイルにアクセスできることがわかって。

    

 

今度は、先ほど表示されたcarlosのphpファイルを読み込むことに。

　user.setAvatar('/home/carlos/User.php','image/jpg')

 

 

アバターを削除するメソッドがみつかったので。

 

 

まずは、ファイルをアバターとして設定してSendして。

　user.setAvatar('/home/carlos/.ssh/id_rsa','image/jpg')

 

 

 

最後に下記の削除用メソッドをSendすると。

　user.gdprDelete() 

 

 

クリアできた。

 

Best regards, (^^ゞ