当前位置：首页 > article >正文

SSRF漏洞实战：用Pikachu靶场玩转curl_exec和file_get_contents攻击链

article 2026/3/25 23:50:12

SSRF漏洞攻防实战从Pikachu靶场到企业级防御体系当你在浏览器地址栏输入?urlfile:///etc/passwd并成功读取系统文件时服务器就像一位过于热心的管家将保险柜钥匙交给了陌生人。这就是SSRFServer-Side Request Forgery漏洞的魔力——让服务器成为攻击者的代理机器人。本文将带你深入这个既危险又有趣的漏洞世界。1. SSRF漏洞核心原理剖析SSRF的本质是服务器信任边界被突破。当Web应用未对用户提供的URL进行严格校验时攻击者就能操纵服务器向任意地址发起请求。就像让邮差误把伪造的取件单当成内部指令从而取回本不该外流的包裹。关键危险函数家族// 网络请求组 $response curl_exec($ch); // cURL家族 $content file_get_contents($url); // 文件读取组 $handle fopen($url, r); // 文件操作组 // 套接字通信组 $fp fsockopen(internal.db, 3306); $data readfile(http://internal/api);这些函数就像服务器对外开放的遥控接口当它们与用户输入直接耦合时就会形成典型的SSRF漏洞触发点。特别值得注意的是不同协议支持的函数存在差异协议类型支持函数典型攻击场景file://file_get_contents/fopen本地文件读取dict://curl_exec端口扫描/服务指纹识别gopher://fsockopen构造任意TCP流量攻击内网服务提示现代云环境中SSRF的危害被放大百倍。通过访问云元数据接口如169.254.169.254攻击者可能直接获取IAM凭证接管整个云环境。2. Pikachu靶场深度实战2.1 环境配置与调试技巧搭建Pikachu靶场时常遇到404问题的根本原因是路径解析差异。不同于原文提到的修改方案更可靠的解决方法是检查Apache/Nginx的AllowOverride设置确认mod_rewrite模块已启用在.htaccess中添加重定向规则IfModule mod_rewrite.c RewriteEngine On RewriteBase /pikachu/ RewriteRule ^ssrf/(.*)$ ssrf_$1.php [L] /IfModule2.2 cURL模块攻击链构建curl_exec的协议支持就像瑞士军刀般多样。在Pikachu的SSRF(curl)关卡中我们可以进行多维攻击内网服务探测三部曲端口扫描?urldict://192.168.1.1:22通过响应时间判断SSH服务服务指纹?urldict://redis:6379/info获取Redis版本信息API探测?urlhttp://internal-api/admin尝试访问管理接口高级利用技巧# 使用CRLF注入绕过基础过滤 curl -v http://target/ssrf.php?urlhttp://127.0.0.1%0d%0aX-Forwarded-For:%20192.168.1.1002.3 file_get_contents的另类利用当遇到file_get_contents时除了常规的文件读取还可以使用PHP包装器获取源码?filephp://filter/convert.base64-encode/resourceconfig.php通过压缩流绕过扩展名检查?filecompress.zlib:///var/www/backups/2023.sql.gz结合XXE进行混合攻击当允许XML上传时!ENTITY xxe SYSTEM php://filter/readconvert.base64-encode/resource/etc/passwd3. 企业级防御方案设计3.1 防御矩阵构建有效的SSRF防护需要分层防御体系输入校验层正则白名单校验/^https?:\/\/[a-z0-9.-]\.example\.com/i禁用危险协议在php.ini中设置allow_url_fopenOff网络隔离层location /internal/ { deny all; return 403; }请求过滤层def safe_request(url): if urlparse(url).hostname in INTERNAL_IPS: raise SecurityException(Internal network access denied) if urlparse(url).port not in [80, 443]: raise SecurityException(Non-standard port detected)3.2 云环境特殊防护针对AWS/Aliyun等云平台元数据服务加固# 使用iptables限制元数据访问 iptables -A OUTPUT -d 169.254.169.254 -j DROPIAM策略最小化{ Version: 2012-10-17, Statement: [{ Effect: Deny, Action: *, Resource: *, Condition: { IpAddress: {aws:SourceIp: 169.254.169.254} } }] }4. 高级攻击手法与绕过艺术4.1 DNS重绑定攻击当目标检查IP黑名单时可以通过DNS TTL控制实现IP切换注册域名并设置极短TTL如1秒首次解析返回合法外网IP在服务器发起请求时DNS返回内网IP# DNS重绑定模拟器 from flask import Flask app Flask(__name__) app.route(/) def toggle_ip(): return 192.168.1.1 if request.args.get(rebind) else 8.8.8.84.2 协议混淆技巧利用URL解析差异绕过过滤十进制IP编码http://2130706433127.0.0.1十六进制编码http://0x7f000001省略写法http://127.1→127.0.0.14.3 服务端请求走私通过畸形请求触发服务器解析差异POST /api/ssrf HTTP/1.1 Host: target.com Content-Length: 56 GET /admin HTTP/1.1 Host: internal-api X-Forwarded-For: 127.0.0.1在实战中我曾遇到一个案例某电商平台通过限制file://协议防御SSRF但攻击者使用compress.zlib://file:///etc/passwd成功绕过。这提醒我们防御方案需要协议组合测试。

SSRF漏洞实战：用Pikachu靶场玩转curl_exec和file_get_contents攻击链

相关文章：

SSRF漏洞实战：用Pikachu靶场玩转curl_exec和file_get_contents攻击链

【仿真】【具身智能】云端低成本畅玩Isaac Lab：抢占式实例部署实战

VSG并联系统振荡了？从根轨迹和参与因子分析稳定性（实例详解）

Stalwart邮件服务器架构设计与性能调优深度解析

Chatbot Arena榜单地址解析：如何高效获取与利用开源大模型评测数据

基于SpringBoot的宠物寄养系统实战：从毕设开题到可运行原型

5种数字内容访问优化技术：从原理到实战的全方位指南

ThreadX信号量五大使用误区盘点：你的RTOS同步机制真的安全吗？

深入解析W25Q64：SPI接口下的高效存储解决方案

终极开源方案：一站式多媒体内容采集与智能管理利器

OpenCore Legacy Patcher：老旧Mac硬件适配与系统兼容完整指南

虚幻引擎登录界面常见BUG排查手册：解决UI显示与事件调度器问题

Cadence OrCAD 16.6自带库文件大盘点：从Amplifier到Transistor，新手别再用错库了！

不止是编译：深入理解OpenHarmony XTS测试套件（acts/hats/dcts）与你的代码质量守护

Rust的trait对象大小与动态分发在虚函数表实现上的差异

flac3d台阶法开挖命令流，5.0版本，计算结果有效合理，支护方式为初衬单元与锚杆联合支护...

FreeSWITCH mod_vad模块实战：手把手教你用Python ESL实现通话静音检测与智能录音

【PAT甲级真题】- Speech Patterns (25)

揭秘AI_NovelGenerator：重构长篇小说创作的智能架构

ABAQUS三维多孔材料建模：自定义与多软件导出

杰理之内置触摸拓扑结构【篇】

终极浏览器3D高斯点云编辑器：SuperSplat完整指南与5大核心优势

独立转向轮式机器人避障轨迹规划策略：应对未知地形与突发空中障碍

Coze智能客服部署指南：从零搭建到生产环境最佳实践

EPLAN P8 2024高效操作指南：从设备标识到端子排连接

红海跟风：为何亚马逊上“更好的产品”往往死得最快

工具链设计进阶：RAG-MCP混合架构与海量工具智能选择

6ES5943-7UB21西门子中央处理器模块

NE555定时器电路设计：从LED闪烁到电机调速的5个实用项目

Blender置换贴图终极指南：5步让3D模型瞬间拥有真实细节