ssrf靶场日记

介绍:ssrf(服务器请求伪造)发生的场景:客户端的某些请求需要服务器请求外部的url,就是服务器需要向其他服务器请求资源。但是服务器对请求的url没有过滤和限制,导致客户端可能会能够恶意获取到服务器内部(内网)的信息

注意:只要是服务器需要请求其他的url资源的场景,都有可能存在ssrf

pikachu靶场

1.

在网址栏中,很显然有url参数,也就意味着服务器请求了其他的url资源。这种情况就可能存在ssrf,尝试修改url参数,

修改为百度的url,会请求对应的资源

2.

尝试修改url,发现此时存在过滤机制,貌似只能请求网站服务器某些目录里的资源,这也是符合实际的。尝试@绕过不行,这里的参数为file,尝试file协议,发现可以读取到服务器的指定文件,但是这里要注意一点就是使用file协议的时候,目录的分隔符和分盘符号全为/利用http协议访问内网资源,注意http协议只能访问web服务软件部署在服务器里的资源,而且这个时候的路径是从网站的根目录开始的,和ftp不一样

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值