SSRF常见绕过思路 |
您所在的位置:网站首页 › ctf正则绕过 › SSRF常见绕过思路 |
搜集的网上常见SSRF绕过思路 @绕过http://[email protected]与http://10.10.10.10请求是相同的 该请求得到的内容都是10.10.10.10的内容,此绕过同样在URL跳转绕过中适用。 360会阻止这种访问方式,访问显示空白页, firefox、chrome可以这样访问 有些ssrf防护措施,会对输入的URL做正则匹配,限制内网地址,比如192、168这些地址,但如果转换成其他格式的ip地址,可能会绕过 对于这种过滤我们可以采用改编IP的写法的方式进行绕过,例如192.168.0.1这个IP地址我们可以改写成: (1)、8进制格式:0300.0250.0.1 (2)、16进制格式:0xC0.0xA8.0.1 (3)、10进制整数格式:3232235521 (4)、16进制整数格式:0xC0A80001还有一种特殊的省略模式,例如10.0.0.1这个IP可以写成10.1 Example: 115.239.210.26 = 16373751032 短网址绕过网上有很多将网址转换未短网址的网站 比如 www.baidu.com与https://dwz.lc/2fGYWaE一样 需要一个vps,把302转换的代码部署到vps上,然后去访问,就可跳转到内网中 比如 302.php |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |