文章总结： 本文分享了针对某证书站点的渗透测试实战案例，作者通过分析前端JS发现隐藏接口，利用XML文件上传功能成功挖掘XXE实体解析、SSRF和XSS漏洞。案例详细展示了绕过WAF的编码技巧和漏洞验证过程，并推荐了Webpack映射提取器等实用工具。文档强调技术仅用于合法测试，提供可复现的漏洞利用方法。 综合评分： 75 文章分类： 渗透测试,漏洞分析,WEB安全,实战经验,安全工具

---

XXE\SSRF\XSS全家桶实战案例

原创

锐鉴安全 锐鉴安全

锐鉴安全

2026年4月9日 07:02 广东

z

go。

部分X

dian’ji’weigweiID

，

zai

cizhi’cizhici

s

“证书站的未授权漏洞，忆校园青春阅edu证书站的未授权漏洞，忆校园青春

点击蓝字 关注我  共筑信息安全



免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

1

背景

本次实战的案例，源于某高校的人脸采集系统，听着都感觉危害很大，因为全是敏感信息，如身份证、人脸等，拿到就是高危漏洞。从无账号到登录系统，靠的就是fuzz，详细的过程见实战过程。

2

实战过程

通过一系列的信息收集，高校的人脸采集系统引起了作者注意，为什么？因为有敏感信息。

连Hunter、Fofa都没索引到这个系统，作者靠灯塔拿到了，灯塔确实好使，关键还免费，需要的师傅可以文末获取下载链接！

系统的首页如下图，可以看到，只用一个登录按钮。



看下findsomething，也没有找到“注册”功能相关的关键字，同时也跑了下接口，并无接口未授权问题。



本次案例的关键操作来了，首先抓包观察下登录系统的数据包情况，随意输入账号密码，点击登录。



可以看到登录的数据包中有个login关键字，秉着试试的心态！

作者将login改为register，惊喜时刻，注册账号成功。



使用注册成功的账号登录系统。



可以看到获取到了身份凭证。



登录到了个人信息首页。



任意用户注册账号漏洞拿下，这个fuzz操作确实有点妙。都登录系统，肯定得把全量的功能测一遍，一般可以测试sql注入、越权、文件上传等漏洞。

co

点击蓝字 关注我  共筑信息安全

免责声明：请勿利用文章内的相关信息、工具从事非法测试，由于传播、利用此文所提供的信息、工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任！

1

背景

最近在做渗透测试时遇到一个很有意思的证书站点案例。通过各种高效工具分析前端JS，发现一个未对外暴露的隐藏接口，通过不停的尝试，最终挖到XXE、SSRF、XSS等一系列漏洞，堪称全家桶案例。

具体过程见实战。

2

实战

开局也是一个冷冰冰的登录框。

先来一手findsomething，一般这种站其他功能简单测下就差不多了，个人不喜欢深度测试，因为很多师傅之前肯定摸过来，一般针对证书站，个人比较喜欢挖隐藏的资产，如js里边的信息。本次也不例外。

但findsomething也提供了一部分信息，但没有本次实战涉及的漏洞接口。

没有看到摸到啥东西的话，一般作者就会去看下指纹信息，使用的是浏览器插件wappalyzer。

可以看到使用webpack打包的站点，那此时呢，又使用Webpack映射提取器去提取异步加载的js资产。如下图。也是个浏览器插件，非常方便，需要的师傅文末取。

此插件分析完会生成一个csv文件，直接打开即可，那么最终通过翻这个文件，翻到了一个文件接口。

针对这种接口，作者一般使用apifox直接去构造并上传文件，非常方便。最终通过各种尝试发现了可以上传xml格式的文件，其他文件均被白名单限制了。

所以便开展了针对xml文件的深度测试。主要漏洞的情况如下。

漏洞1：xml实体解析漏洞

首先构造一个含实体解析内容的xml文件，如下图。

上传成功后，拼接后端访问的路径，直接访问。可以看到解析了内部实体。

说明存在后端解析的情况，此时，上传file读文件的xml，直接被waf拦截。经过多次测试，也不能绕过，那只能点到为止了。

漏洞2：SSRF

通过漏洞1，可以看到，在访问这个文件的时候，后端会xml进行解析的。那么此时，进一步构造SSRF的xml文件。

上传后，访问文件，观察作者的vps，可以看到成功接收到了相应的请求。目标是可以出网的。拿下一个ssrf。

漏洞3：xss

从漏洞1可以知道，存在waf，所以常规的poc里边如果包含了script、alert等字眼，通通被干掉，此时，使用了简单编码，绕过了waf。上传成功。

<svg&nbsp;xmlns="http://www.w3.org/2000/svg"&nbsp;onload="window[atob('YWxlcnQ=')]('XSS')"/>

拼接访问，弹框，拿下xss。

至此本次案例结束。针对xml文件解析的实战案例，希望对各位师傅有所帮助。因为有waf的存在，没办法进一步深度利用，同时此系统后端貌似禁用了外部实体解析，不然提升一下危害是可以的。

往期好文推荐

OSSHunter适用于阿里云、腾讯云等存储桶安全检查

武装你的浏览器-信息收集

武装你的浏览器-漏洞检测

武装你的浏览器器-Webpack_extract

通过SSO认证绕过，艰难“拿证”实战

SRC通用案例，第三方接口调用缺陷

记一次对房东xxx的渗透实战，含技巧！

“细狗”,太细了,就该你出洞（干货案例）

JSHunter助你挖掘JS中的漏洞”宝矿”

分享1个发现隐藏资产的技巧，附实战

更新-大佬的SRC思路，等你来GET

记一次SRC渗透测试实战

从微信扫描登录到账号接管，细节实战

更新|帆软、用友、泛微、蓝凌等常见OA系统综合漏洞检测工具

Web渗透测试综合工具

Java漏洞专项检测工具

有趣的Fuzz+BucketTool工具等于双高危！

推荐一款资产“自动化”筛选工具

Jeecg-boot最新漏洞检测工具

Nacos漏洞检测专项工具,攻防必备

入交流群扫下方二维码：

号外：进入下方小程序，在“资源中心”可获取其他资源。

下载方式：关注公众号，回复“260408”获取下载链接。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：锐鉴安全 锐鉴安全 锐鉴安全《XXE\SSRF\XSS全家桶实战案例》