pikachu靶场--SSRF攻击

news2026/4/7 12:32:57

摘要什么是SSRFSSRFServer-Side Request Forgery服务器端请求伪造是一种由攻击者构造恶意请求并由服务器端代为发起此请求的安全漏洞。攻击者能够利用存在缺陷的Web应用作为代理去攻击服务器所在内网或本地的其他服务。简单比喻A用户让B存在漏洞的服务器去访问C目标通常是内网或本地的资源。如果B在“不知情”即未对A的请求目标做严格校验的情况下执行了请求就形成了SSRF。作者对SSRF漏洞的总结网络安全进阶学习SSRF服务器端请求伪造漏洞全解析-CSDN博客第一关SSRF(curl):1HTTP(s):最常用到的一种协议可以用来验证是否存在SSRF漏洞探测端口以及服务。2file本地文件传输协议可以用来读取任意系统文件3dict:字典服务器协议dict是基于查询相应的TCP协议服务器监听端口2628。在SSRF漏洞中可用于探测端口以及攻击内网应用4ghoper:互联网上使用的分布型的文件搜集获取网络协议出现在http协议之前。可用于攻击内网应用可用于反弹shell打开pikachu利用pikachu的ssrf漏洞访问外网pikachu本身不是浏览器不能当做浏览器访问其他网站我们就访问csdn吧成功注意红框中的地址正常应该是自己服务器的地址这里我为了方便就拿本地机器做实验了第二关SSRF(file_get_content):这里的利用方式与上一关相同不同一点是这里可以使用php的伪协议了比如可以使用php://filter读取文件?filePHP://filter/readconvert.base64-encode/resourcec:../../../windows/win.ini复制得到的结果给它解码随便找个在线解码工具拿去base64解码便可以获得数据

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2486283.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！