一、ssrf(curl)
1.观察切换页面以及源码
发现存在url传递。在这里提交url参数和内容,服务器用函数curl_exec()执行,并将结果输出
在下面页面做测试发现可以正常跳转,所以可以在此去执行一些恶意操作
二、SSRF(file_get_content)实验
通过跳转页面观察
发现跳转页面存在file函数。file_get_content()函数的功能是对本地和远程的文件进行读取。
在本地先创建一个11.txt的文本,然后写在file函数后
观察到只要服务器支持就可输出
Pikachu之SSRF实验
最新推荐文章于 2024-07-24 17:23:19 发布