portswigger靶场SSRF通关

一、针对本地服务器的基本 SSRF

1、实验要求：

该实验室具有库存检查功能，可以从内部系统获取数据。要解决该实验，请更改库存检查 URL 以访问管理界面，http://localhost/admin并删除用户carlos。

2、实验步骤

a、根据提示可以更改库存检查 URL 发现一个参数stockApi

b、将上述请求包发送重放器直接将参数更改为stockApi=http%3a%2f%2flocalhost%2fadmin后发送请求，发现响应成功

c、然后将参数改为stockApi=http%3a%2f%2flocalhost%2fadmin%2fdelete%3fusername%3dcarlos，对该用户进行删除

二、针对另一个后端系统的基本SSRF

1、实验要求：

该实验室具有库存检查功能，可以从内部系统获取数据。要解决该实验，请使用库存检查功能扫描192.168.0.X端口 8080 上管理界面的内部范围，然后使用它删除用户carlos。

2、实验步骤

• 根据提示需要利用库存检查工作来对上述IP进行扫描其用意在于