Hello there, ('ω')ノ

 

ブラックリストベースの入力フィルターを備えたSSRFを。

まずは、ページに移動して在庫チェックを。

 

 

他サーバへのstcokApiが確認できて。

 

 

リピータで、下記に変更してSendするとエラーが。

　stockApi=http://127.0.0.1

 

 

IPアドレスをURLエンコードして。

 

 

再度、Sendしてもエラーが。

 

 

さらにURLエンコードして。

 

 

再度、Sendすると成功のステータスが。

 

 

stockApiにadminを追加して実行すると。

こちらもエラーだったので。

 

 

同様にURLエンコードを二回して。

 

 

stockApiに追加して実行すると成功したので。

 

 

carlosを削除するパラメータを追加して実行すると。

 

 

クリアできた。

 

 

Best regards, (^^ゞ