SSRF学习挖掘

什么是SSRF?

 

服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务)

 

攻击者能够利用目标帮助攻击者访问其他想要攻击的目标

A让B帮忙访问C

用一种简单的方法 -攻击者要求服务器为他访问URL  举一个简单的例子:

利用在线翻译,用翻译的服务器访问你所需要的目标站点

假设他内网有许多内网服务器,我们是不是就可以访问到内网了。可以探测一些内网的信息

实操一下:

利用dict://查看开放端口,先抓个包

直接访问最大返回的两个端口80/81

跳转的到这个地址了,没有回显什么东西,直接看看代码

 没有我们想要的东西

 

跳转到这个地址了

 

 

找到我们要的东西了

 

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值