P4 to P2 - The story of one blind SSRF · Script Kiddie`s notes

Nino |

Introduction

本文介绍了上传html, 读取服务器文件。

Exploit

文件上传功能通常会比对是否合法的文件格式。 服务器允许html, 但不要看少上传的是html. 我们可以在html中加入各式各样的tag, 如<script>,<iframe>, <object>.

NIN: 假如iframe被禁止,尝试object.

Ref

P4 to P2 - The story of one blind SSRF · Script Kiddie`s notes

Show Comments