SSRF-labs-master靶场

目录

file_get_content.php

sql_connect.php

download.php

dns-spoofing.php

dns_rebinding.php


访问链接

复制代码
http://127.0.0.1/SSRF/#

file_get_content.php

在编程语言中,有一些函数可以获取本地保存文件的内容。这些功能可能能够从远程URL以及本地文件

如果没有对输入内容进行处理,或者处理的不够严格,将有可能导致SSRF漏洞攻击

复制代码
C:\\windows\win.ini
复制代码
http://127.0.0.1/pikachu-master/vul/ssrf/ssrf_info/info1.php
复制代码
file_get_content.php

sql_connect.php

应用程序提供接口以连接到远程主机,Web应用程序具有允许用户使用任何端口指定任何IP的接口。在这里,该应用程序具有尝试连接到" MySQL"," LDAP"等服务的功能

download.php

输入:download.php,就会下载download.php文件

查看下载的文件

输入:file:///C:/Windows/System32/drivers/etc/hosts

dns-spoofing.php

输入:dns-spoofing.php

发现了源码

dns_rebinding.php

应用程序不仅实现了内部和私有范围的IP黑名单,而且还将用户提供的域名解析为其IP,并再次执行检查是否已解析为黑名单。

在这种情况下,基于DNS的欺骗手段也不会访问内部/保留IP上托管的内容。应用程序代码对其IP执行域解析,并再次对解析的IP执行黑色列出的IP检查。

相关推荐
m0_7381207241 分钟前
网络安全编程——开发一个TCP代理Python实现
python·tcp/ip·安全·web安全·网络安全
安当加密2 小时前
安全登录多人共用的机密电脑:基于动态凭证与会话隔离的解决方案
安全·电脑
七月稻草人2 小时前
Rust 应用状态(App State)管理:类型安全与并发控制的艺术
开发语言·安全·rust
金仓拾光集2 小时前
金仓替代MongoDB:安全与性能协同提升——社交用户画像系统的国产化实践
数据库·安全·mongodb·kingbase·kingbasees·数据库平替用金仓·金仓数据库
NOVAnet20232 小时前
南凌科技SD-WAN全球组网方案技术解析:助力JINS完成600+门店数字化升级
网络·web安全·智能流量调度
GIS数据转换器2 小时前
科技赋能农业现代化的破局之道
大数据·科技·安全·机器学习·智慧城市·制造
一RTOS一3 小时前
以自主创新推动能源装备智能化升级,为能源安全构筑“确定性”底座
安全·能源
国科安芯3 小时前
光电传感器领域国产MCU芯片抗辐照技术考量
网络·人工智能·单片机·嵌入式硬件·安全
Bruce_Liuxiaowei4 小时前
Mac与Kali主机间SSH连接故障排除:主机密钥变更的解决方案
运维·macos·网络安全·ssh
2501_938791835 小时前
服务器镜像安全:Docker 镜像漏洞扫描(Trivy)与基础镜像优化
服务器·安全·docker