ssrf靶场日记

于 2023-12-06 23:58:24 发布
阅读量31 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74196038/article/details/134843462
版权

介绍:ssrf(服务器请求伪造)发生的场景:客户端的某些请求需要服务器请求外部的url,就是服务器需要向其他服务器请求资源。但是服务器对请求的url没有过滤和限制,导致客户端可能会能够恶意获取到服务器内部(内网)的信息

注意:只要是服务器需要请求其他的url资源的场景,都有可能存在ssrf

pikachu靶场

1.

在网址栏中,很显然有url参数,也就意味着服务器请求了其他的url资源。这种情况就可能存在ssrf,尝试修改url参数,

修改为百度的url,会请求对应的资源

2.

尝试修改url,发现此时存在过滤机制,貌似只能请求网站服务器某些目录里的资源,这也是符合实际的。尝试@绕过不行,这里的参数为file,尝试file协议,发现可以读取到服务器的指定文件,但是这里要注意一点就是使用file协议的时候,目录的分隔符和分盘符号全为/利用http协议访问内网资源,注意http协议只能访问web服务软件部署在服务器里的资源,而且这个时候的路径是从网站的根目录开始的,和ftp不一样

阿翔要努力
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
web安全攻防渗透测试实训笔记
m0_65385236的博客
04-07 1338
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
以题为例浅谈SSRF
weixin_74427106的博客
03-14 2375
如:http://example@127.0.0.1http://www.baidu.com@10.10.10.10和http://10.10.10.10请求时相同的它是需要做无回显的SSRF题,下面以题为例,介绍一下这个软件。
ctfshow web入门 ssrf web351~web360
qq_62989306的博客
09-13 1049
ssrf之127.0.0.1绕过、域名指向、302跳转、DNS重定向、gopher打mysql、redis……
2021年总结:缘起性空,归来不少年——回顾这荆棘的一年
热门推荐
杨秀璋的专栏
01-05 3万+
2021年已经离去,感谢大家的陪伴和帮助,感谢家人的鼓励。转眼,这已是我在CSDN写下的第九篇年终总结,真是岁月如梭。《缘起性空,归来不少年》。是啊,归来不再少年,我已经是而立之年了。当我写下这几个字的时候,心里还沉甸甸的。曾经的我总以为,博士毕业继续回到贵州教书,陪伴家人,仍是少年,真的如此吗?或许现实将更加残忍,岁月将不饶人,这荆棘一年让我意识到,我已为人父,不再少年。
国光师傅的SSRF靶场docker环境.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
国光的手把手带你用 SSRF 打穿内网靶场源码.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8347
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
《AI大模型应用》--迷你网页版 AI 聊天机器人,调用文心一言 API.zip
07-25
个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸! 个人深耕AI大模型应用领域积累的成果,希望对您有所帮助。有大模型账号、环境问题、AI大模型技术应用落地方案等相关问题,欢迎详聊,能为您解决问题是我的荣幸!
基于python的slaee管理系统 (27).zip
07-25
docker
IntelligentCompletionTrial.rar
07-25
IntelligentCompletionTrial
b186学生网上选课系统-springboot+vue.zip(可运行源码+sql文件+文档)
07-25
学生网上选课系统在对开发工具的选择上也很慎重,为了便于开发实现,选择的开发工具为Eclipse,选择的数据库工具为Mysql。以此搭建开发环境实现学生网上选课系统的功能。其中管理员管理用户,新闻公告。 学生网上选课系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,学生网上选课系统都可以轻松应对。 学生信息管理页面,此页面提供给管理员的功能有:学生信息的查询管理,可以删除学生信息、修改学生信息、新增学生信息,还进行了对用户名称的模糊查询的条件。排课信息管理页面,此页面提供给管理员的功能有:查看已发布的排课信息数据,修改排课信息,排课信息作废,即可删除,还进行了对排课信息名称的模糊查询 排课信息信息的类型查询等等一些条件。公告类型管理页面,此页面提供给管理员的功能有:根据公告类型进行条件查询,还可以对公告类型进行新增、修改、查询操作等等。公告信息管理页面,此页面提供给管理员的功能有:根据公告信息进行新增、修改、查询操作等等。
Matlab实现侏儒猫鼬优化算法DMO-TCN-Multihead-Attention多输入单输出回归预测算法研究.rar
07-25
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
b110果蔬作物疾病防治系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-25
本果蔬作物疾病防治系统分为管理员还有用户两个权限,管理员可以管理用户的基本信息内容,可以管理公告信息以及果蔬百科信息,能够与用户进行相互交流等操作,用户可以查看果蔬百科信息,可以查看公告以及查看管理员回复信息等操作。 该果蔬作物疾病防治系统采用的是WEB应用程序开发中最受欢迎的小程序结构模式,使用占用空间小但功能齐全的MySQL数据库进行数据的存储操作,系统开发技术使用到了Java技术。该果蔬作物疾病防治系统能够解决许多传统手工操作的难题,比如数据查询耽误时间长,数据管理步骤繁琐等问题。总的来说,果蔬作物疾病防治系统性能稳定,功能较全,投入运行使用性价比很高。 果蔬作物疾病防治系统分为管理员和用户两部分操作角色,管理员可以管理用户的基本信息,可以管理等功能。 蔬百科列表页面,此页面提供给管理员的功能有:查看果蔬百科、新增果蔬百科、修改果蔬百科、删除果蔬百科等。公告信息进行管理,可以新增公告信息,修改公告信息,删除无效的公告信息。公告类型管理页面显示所有公告类型,在此页面既可以让管理员添加新的公告信息类型,也能对已有的公告类型信息执行编辑更新,失效的公告类型信息也能让管理员快速删除。
GBT 2423.1-2008-试验A-低温
最新发布
07-25
GBT 2423.1-2008-试验A-低温
毕业设计:基于Springboot的汽车服务管理系统论文
07-25
随着社会的进步,汽车服务管理面临的挑战日益加剧。众多用户倾向于通过互联网获取信息,然而汽车服务信息繁杂且真伪难辨。为了帮助用户更有效地获取汽车服务信息,开发一个既安全又高效的汽车服务管理系统显得尤为重要。 为构建一个既安全又便捷,且能优化用户获取汽车服务信息的体验的系统,本文秉持安全与简洁的设计理念,旨在实现用户快速查找汽车服务信息,进而解决信息繁杂、难以分辨的问题。本系统基于Spring Boot架构技术,采用Java编程语言和MySQL数据库进行开发。通过对汽车服务领域的深入分析,我们明确了系统的功能性和非功能性需求,并据此设计了包含管理员、用户和员工三大模块的汽车服务管理系统。此系统不仅为用户提供了一个便捷实用的汽车服务管理平台,使用户能够及时找到适合自己的服务信息,还允许个人用户浏览首页、热销汽车、汽车配件、汽车资讯、后台管理、在线客服和个人中心等多个板块;同时,管理员则可通过后台界面有效管理用户信息。
R语言大会-软件工具B 基于R的数据分析平台 共11页.pdf
07-25
R语言大会-软件工具B 基于R的数据分析平台 共11页.pdf
2024 Java面试宝典合集-头条java面试题
07-25
2024java面试题 -2024 Java面试宝典合集|头条java面试题
pikachu靶场ssrf
08-07
对于Pikachu靶场SSRF,我了解到Pikachu是一个开源的靶场平台,用于测试和学习网络安全方面的知识和技能。SSRF(Server Side Request Forgery)是一种攻击技术,攻击者可以利用漏洞发送伪造的请求,从而访问应用程序...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值