0x00 什么是SSRF? SSRF(Server-Side Request Forgery,服务器端请求伪造):是一种由攻击者构造形成由服务器端发起请求的一个漏洞. SSRF 攻击的目标是从外网无法访问的内部系统 漏洞成因 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制. 0x01 SSRF的危害 攻击者可利用SSRF绕过防火墙,接触内部网络 攻击者可以利用 SSRF 实现的攻击主要有 5 种: 可以对外网.服务器所在内网.本地进行端口扫描,获取一些服务的 banner…

前言 昨天忘了在公众号还是微博上看到的了,看到一个SSRF绕过的技巧,使用的是 ⓔⓧⓐⓜⓟⓛⓔ.ⓒⓞⓜ 绕过的,自己也没遇到过.然后想想自己对SSRF绕过还是停留在之前的了解,也没学习过新的绕过方法,所以特意找了找资料,学习学习最新黑科技,充充能. 0x00 SSRF是什么 能精简的就不扯淡,一句话就是:利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务. 0x01 SSRF能干什么 探测内网信息 攻击内网或本地其他服务 穿透防火墙 ... 0x02 SSRF怎么找 能够对外发起网络请求的…

SSRF绕过IP限制方法总结 - Summary of SSRF methods for bypassing IP restrictions -https://www.cnblogs.com/iAmSoScArEd/p/11458850.html 一.SSRF简介 SSRF(Server-Side Request Forgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器端发起的请求,从而获取客户端所不能得到的数据.SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容…

漏洞 <?php if(isset($_GET['url']) && trim($_GET['url']) != '' && isset($_GET['type'])) { $img_url=trim($_GET['url']); //去掉空白字符 $img_url = base64_decode($img_url); //把url参数做base64解码.说明传入时是base64编码的 $img_url=strtolower(trim($img_url));//把im…

(1)大小写绕过 此类绕过不经常使用,但是用的时候也不能忘了它,他原理是基于SQL语句不分大小写的,但过滤只过滤其中一种. 这里有道题 (2)替换关键字 这种情况下大小写转化无法绕过而且正则表达式会替换或删除select.union这些关键字如果只匹配一次就很容易绕过 http://www.xx.com/index.php?page_id=-15 UNIunionON SELselectECT 1,2,3,4 (3)空格绕过 payload select/**/*/**/from/**/yz;…

1.利用curl的变量解释符$ php版本 利用代码 /*ssrf.php*/<?php echo ]."n"; // check if argument is a valid URL ], FILTER_VALIDATE_URL)) { // parse URL $r = parse_url($argv[]); print_r($r); // check if host ends with baidu.com if(preg_match('baidu.com$/', $r['h…

1.内联绕过 2.编码绕过,如URLEncode编码,ASCII,HEX,unicode编码绕过 or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116). 十六进制编码 SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61)) 双重编码绕过 ?id=1%252f%252a*/UNION%252f%252a /SELECT%252f%252a*/1,2,…

第一道题来自2018 上海市大学生网络安全大赛线上赛web01 if(isset($_POST['url']) && parse_url($_POST['url'])['host']=='www.baidu.com') { var_dump(parse_url($_POST['url'])['host']); $curl = curl_init(); curl_setopt($curl, CURLOPT_URL, $_POST['url']); curl_setopt($curl, CUR…

公司的各业务主站都挂了CDN,总结一波CDN绕过技巧. 什么是CDN CDN的全称是Content Delivery Network,即内容分发网络. 其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快.更稳定. 我的简单理解就是:在cdn提供商的服务器上 “备份” 的目标服务器的一部分数据,用户在请求目标服务器时会转到cdn服务器上. 这样做的好处是显然的,首先是可以分摊掉自己服务器的一些负担,而且由于cdn服务商在各地都有服务器,能提高用户的访问速度,…

#未完待续... 00x1.绕过 magic_quotes_gpc magic_quotes_gpc=ON 是php中的安全设置,开启后会把一些特殊字符进行轮换, 比如: ' 会被转换为 \' 再比如: \ 会转换为 \\ 可见其在正常字符的前面多加了一个斜杠. 一个被使用了magic_quotes_gpc简单案例: <script>alert("xss");</script> 会转换为 <script>alert(\"xss\"…

POC "@" http://www.target.com/redirecturl=http://whitelist.com@evil.com "\" http://www.target.com/redirecturl=http://evil.com\a.whitelist.com "\\" http://www.target.com/redirecturl=http://evil.com\\a.whitelist.com "?&quo…

0x01 弹窗关键字检测绕过 基本WAF都针对常用的弹窗函数做了拦截,如alert().prompt().confirm(),另外还有代码执行函数eval(),想要绕过去也比较简单,我们以alert('xss')为例,其实只需要分割alert和()即可,例如: 添加空格.TAB.回车.换行:alert%20(/xss/).alert%0A(/xss/).alert%0D(/xss/).alert%09(/xss/) 添加多行注释:alert/*abcd*/(/xss/) 添加注释换行:alert…

这篇文章最开始只是想写一个关于绕过referer的方法,写着写着发现和ssrf以及url跳转的一些手法类似,于是把这两种也加上了 对referer做校验一般是对csrf进行防范的手段之一,但是很多时候不经意间还会增加其他攻击的难度,如xss,jsonp劫持等等. 这里对referer的绕过做一个小的总结:目标网站是:www.domain.com 攻击者的域名是:evil.com 1.使用子域名的方式绕过,如下: http://domain.evil.com/ 2.注册一个类似的域名,如下:htt…

前言 SSRF(Server-Side Request Forgery ,服务器端请求伪造) 是一种由攻击者构造形成由服务器发起请求的一个安全漏洞 SSRF的主要攻击目标为外网无法访问的内部系统. 本文记录下各种利用姿势 正文 测试环境 docker pull vulhub/php 存在漏洞的机器: 172.17.0.3 redis服务器: 172.17.0.3 测试代码 <?php function curl($url){ $ch = curl_init(); curl_setopt($ch,…

前言 最近主要是在思考考研的事.还是没想好-- 这几天的话写了一篇简单代审投稿了星盟,看了会SSRF.今天简单写下SSRF. 本文所有思路均来自互联网,并没有新想法.仅仅只是做个记录. 本文可能会有大量重复文字,我会在文中文末明显处都会表明出处,侵权一定删除. SSRF简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞.一般情况下,SSRF攻击的目标是从外网无法访问的内部系统.(正是因为它是由服务端发起…

参考文章 SSRF漏洞(原理&绕过姿势) SSRF绕过方法总结 SSRF绕过IP限制方法总结 Tag: #SSRF Ref: 概述 总结 利用一个可以发起网络请求的服务当作跳板来攻击内部其他服务. 一.漏洞介绍 SSRF(Server-Side Request Forgery:服务器端请求伪造) 二.漏洞原理 由于服务端提供了从其他服务器应用获取资源的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据. 数据流:攻击者-…

最近看了很多ssrf漏洞挖掘技巧和自己以往挖掘ssrf漏洞的一些技巧和经验,简单的总结下: 之前自己总结的: ssrf=服务器端请求伪造 基于服务器攻击 url链接 -->内网漫游/内网服务探测/内网开放端口探测/getshell/xss/xxe http://test.com/proxy?url=服务器地址 ->服务器地址来源ip不是你本地的ip,那它就有八成概率存在ssrf了对外访问地址,ip地址非本地 192.168.0.0 - 192.168.255.255172.16.0.1 - 1…

概念:服务端在获取攻击者输入的url时,如果这个过程中,服务端并没有对这个url做任何的限制和过滤,那么就很有可能存在ssrf漏洞. 漏洞利用:SSRF攻击的目标一般是外网无法访问的内部系统.攻击者可以通过构造url对外网,服务器所在内网,本地进行端口扫描:攻击运行在内网或本地的应用程序:对内网web应用指纹识别,通过访问默认文件实现:攻击内外网的web应用:利用file协议读取本地文件. 哪里最可能存在ssrf: 1)通过url分享图片,文章等: 2)转码服务: 3)在线翻译功能: 4)图片通…

0x00 前言 ​ ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能.轻量级.默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: select.+(from|limit) (?:(union(.*?)select)) (?:from\W+information_schema\W) 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御. 0x01 环境搭建 github源码:https://github.com/lov…

0x00 前言 ​ X-WAF是一款适用中.小企业的云WAF系统,让中.小企业也可以非常方便地拥有自己的免费云WAF. ​ 本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass. 0x01 环境搭建 官网:https://waf.xsec.io github源码:https://github.com/xsec-lab/x-waf X-WAF下载安装后,设置反向代理访问构造的SQL注入点 0x02 代码分析 首先看一下整体的目录结构, nginx_conf 目录为参考配置(可…

0X01 前言 D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况.D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置.构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思路: a.白名单   b.绕过union select或select from的检测 0X02 IIS+PHP+MY…

0x00 前言 ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能.轻量级.默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: select.+(from|limit) (?:(union(.*?)select)) (?:from\W+information_schema\W) 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御. 0x01 环境搭建 github源码:https://github.com/loves…

0x00 前言 X-WAF是一款适用中.小企业的云WAF系统,让中.小企业也可以非常方便地拥有自己的免费云WAF. 本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass. 0x01 环境搭建 官网:https://waf.xsec.io github源码:https://github.com/xsec-lab/x-waf X-WAF下载安装后,设置反向代理访问构造的SQL注入点 0x02 代码分析 首先看一下整体的目录结构, nginx_conf 目录为参考配置(可删除),…

D盾旧版: 00前言 D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况.D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置. 构造不同的测试环境,IIS+(ASP/ASPX/PHP)+(MSSQL/MYSQL),看到这边的策略,主要的测试思路: a.白名单 b.绕过union select或select from的检测 01 PHP+IIS+MY…

ssrf漏洞,全称为服务端请求伪造漏洞,由于有的web应用需要实现从其它服务器上获取资源的功能,但是没有对url进行限制,导致可以构造非本意的url对内网或者其它服务器发起恶意请求.ssrf漏洞的危害可以通过ssrf漏洞可以对内网或本地机器进行主机发现,服务版本探测或者针对内网或本地一些薄弱的应用进行攻击,同时利用ssrf漏洞还可以时服务器主动发起请求,从而做为一个攻击跳板或者绕过CDN找到其服务器的真实ip file_get_contents(),fsockopen(),curl_exec()…

0×00 前言 现在软waf较为多,就在今年夏天苦逼挖洞的日子里经常遇到360主机卫士,安全狗,云锁之类的软waf进行拦截,经常碰到如下拦截提示: 看到以上三个拦截提示就让人头疼不已,欲罢不能. so,就在网上搜索各种绕过waf的资料,终于我结合了网上的文章以及自己的测试思路,写下了这篇文章. 0×01 数据库特性 /**/ ; ‘ “ # – – + – - + - +.-执行结果: –.– -.– +.#执行结果: /**/执行结果: 0×02 拦截情况 SQL注入代码:       hea…

仅供学习交流如果你有更好的思路可以一起分享,想一起学习的进我主页 先去安全狗网站下载最新的安全狗版本 从官网下载 windwos apache版 v4.0.2395  最新版   数据库是mysql 5.6 1.首先判断是否有注入点包括是字符型还是数字型注入 我们假设他是数字型注入 构造 id=0=0 在数据库中执行 获取了全部数据  从返回的数据 我们立马断定他是数字型注入   而如果是字符型注入  代码里应该是   where id='$id'   就是 select * from `use…

1.定位页面可以出现xss的位置 可能会出现联合点利用 一个页面多个存储位置或者一个页面多个参数联合利用 例如输入xss 查看页面源码页面里有多个xss 或者多个参数显示 可以利用 需要注意的是有的是js动态加载标签 或者iframe嵌套 和框架嵌套 需要去审查元素 如果xss位置在js 可以直接利用js弱语言的特性直接写js 如果xss位置在html 标签属性中 可以先判断闭合条件 '和" 利用伪协议写js 如果是>< 标签内 可以直接写html 标签 值得注意的是有些标签自带ht…

在刚结束的互联网安全城市巡回赛中,R师傅凭借丰富的挖洞经验,实现了8家SRC大满贯,获得了第一名的好成绩!R师傅结合自身经验并期许新手小白要多了解各种安全漏洞,并应用到实际操作中,从而丰富自己的挖洞经验,积累挖洞技巧.(文末有R师傅的个人专访,挖洞秘籍尽在其中) 今天i春秋就针对众多安全漏洞中的SSRF进行详细介绍,理论内容结合实际案例进行深度分析,帮助大家快速get新技能!本文阅读用时约7分钟. 什么是SSRF? SSRF(Server-Side Request Forgery:服务器端请求伪…

0x01 概述 上篇讲述了SSRF的一般用法,用http协议来进行内网探测,攻击内网redis,接下来讨论的是SSRF的拓展用法,通过,file,gopher,dict协议对SSRF漏洞进行利用. 0x02 实验环境 存在SSRF漏洞的靶机:192.168.220.143 被攻击的内网系统A:192.168.220.139  (web服务器) SSRF漏洞存在于页面:http://192.168.220.143:8888/zhan/ssrf/ssrf_demo.php,代码如下: <?php /…