0x00 前言 xss一直是一种非常常见且具有威胁性的攻击方式。然而，除了可能导致用户受到恶意脚本的攻击外，xss在特定条件下还会造成ssrf和文件读取。 本文主要讲述在一次漏洞挖掘过程中从xss到文件读取的过程，以及其造成的成因。 0x01 漏洞详细 1. XSS 漏洞所在的是一个可以在线编辑简历并导出的一个网站。 首先注册账号后进去，任意选一个模板在线编辑，在编辑简历时插入payload测试 发现被转义了，我们手动修改回去 刷新简历可以看到成功弹窗，证明存在存储型xss 然后使用

标签测试，可以发现h1标签也会被解析 然后我们发现，网站有一个功能可以把简历转成pdf并下载，而在线编辑的是html格式，而且这一转换过程是在后端完成，并且导出的pdf中标签依然是被解析的，如下图所示，导出的pdf中上方的字体也明显变大，说明h1标签被解析 2. SSRF 通过过滤网络请求我们发现这样一个数据包，它将html及里面包含的js代码会发送给后端，后端可能通过渲染html代码从而生成pdf供用户下载 那后端是如何将html渲染成pdf，执行html中的js呢？ 一般可以通过获取后端解析的组件及版本来获取更多信息，从下载的pdf中，可以文件的头部信息可以获取创建者或者pdf文件信息 可以发现后端使用的wkhtmltopdf组件 wkhtmltopdf官方文档： https://wkhtmltopdf.org/index.html 在他的使用文档中发现其使用 Qt WebKit 浏览器引擎将html渲染成pdf，既然是通过浏览器渲染的，那html中的所有标签也会被浏览器所执行。 所以我们使用 iframe 标签尝试读取内网资源