漏洞简介SSRF(Server-side Request Forge, 服务端请求伪造)
通常用于控制web进而探测内网服务以及攻击内网脆弱应用
即当作跳板机,可作为ssrfsocks代理
漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制 。
文章插图
ssrf攻击协议利用
文章插图
我的这台服务器的IP是192.168.2.111
文章插图
自己编写含有ssrf的demo2.php文件 。
文章插图
使用vim编辑器查看一下,有ssrf漏洞的php代码 。
文章插图
文章插图
Curl要php扩展要开启才能使用curl读取文件
然后输入http://192.168.2.111/demo2.php?url=file:///etc/passwd这样就直接能查看/etc/passwd的文件内容 。
文章插图
我再换个dict协议,这个可以显示一些信息
文章插图
每次访问demo2.php就会在服务器的的txt的文件!
文章插图
最后喜欢我文章的朋友请加圈子关注我们,私信关键词:学习 。(送免费资料和优惠券)
就会自动分享给你微信号 。欢迎大家加入我们的安全大家庭 。提高大家的安全意识,提升大家的网络安全技能一直是我们的初衷和愿景,让我们共同成为守护信息世界的"SaFeMAN" 。
还有可以关注我们微信公众号,在公众号上输入安界网,就可以关注到我们,领取资料和优惠券!
【漏洞初探,手把手带小白进入黑客的世界】
推荐阅读
- 漏洞验证和利用代码编写指南
- 一次对客户APP渗透测试服务 深挖漏洞防止攻击的办法
- 网站安全漏洞测试对流量嗅探扫描等手法
- Kali Linux实战篇:Windows Server 2012 R2系统漏洞利用过程
- 漏洞利用复现,看看黑客如何入侵服务器
- 手把手教你向百度站长平台提交XML和TXT死链文件
- Fastjson 反序列化漏洞自动化检测
- 手把手教你正确停车,考证不再难
- 黑客入门利器,dvwa文件上传漏洞,带你进入黑客大门
- SpringBoot中教你手把手配置 https