SRC挖洞之SSRF与XXE漏洞的实战案例

Posted 2021-06-21 Tr0e

文章目录

• 前言
• SSRF漏洞
• • 案例1 某翻译网SSRF可通内网
  • 案例2 某翻译网SSRF防护绕过
  • 案例3 某站SSRF读取本地文件
  • 案例4 某站视频解析导致SSRF
  • 案例5 某狗主站SSRF多种绕过
  • 案例6 某乎网SSRF可探测内网
• XXE漏洞
• • 案例1 用友某软件存在XXE漏洞
  • 案例2 XFire 开发组件XXE漏洞
  • 案例3 博客搬家功能处XXE漏洞
  • 案例4 用友某软件存在XXE盲注
• 总结

前言

前面一篇文章 SRC挖洞之文件上传/下载漏洞的实战案例 介绍了 任意文件下载漏洞 和 任意文件上传漏洞，本文收集讲述下 SSRF 漏洞和 XXE 漏洞的 SRC 和漏洞平台的一些实战案例。关于这两个漏洞的一些介绍和检测方法，读者可阅读我的另一篇博文：