PHP中三个函数的使用不当会导致SSRF
file_get_contents fsockopen() curl_exec(),ssrf的起因就是因为后端需要请求前端来的页面,但是又没做好地址过滤,请求到了恶意地址。
这里先是请求了一个本地网页。
然后我们修改GET传参里面的值,也可以让它去请求到百度的网页
原理就是浏览器把参数传到后端,后端通过那三个可出问题函数之一的curl_exec()函数去请求到百度网页,最后呈现的
ssrf可以用来打内网
前面的IP是192.168.1.4,之后的URL可以填上与它同一内网的主机,它也会去扫描的。