ssrf 第4页

服务器端请求伪造（SSRF）

概念SSRF(Server-SideRequestForgery，服务器端请求伪造)是一种由攻击者构造形成的由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要攻击目标网站的内部系统。

h0l10w·2023-11-23 15:56

weblogic从ssrf到redis获取shell

一、环境搭建和知识储备1.1、影响版本漏洞编号：CVE-2014-4210weblogic10.0.2.0weblogic10.3.6.01.2、Docker搭建环境1.进入vulhub/fastjson，启动docker即可cd/root/vulhub/weblogic/ssrfdocker-composeup-d2.查看启动的docker进程dockerps二、漏洞复现2.1、weblogic

洋洋cc·2023-11-23 13:20

CVE-2023-3432漏洞

目录0x00关于PlantUML0x01CVE-2023-34321.1PlantUML现有的SSRF安全机制1.1.1SecurityProfile.SANDBOX1.1.2SecurityProfile.ALLOWLIST1.1.3SecurityProfile.INTERNET1.2

zkzq·2023-11-23 01:40

【CTFSHOW】web入门 SSTI（更新中）

文章目录引言web361web362web363参考资料引言刷完SSRF、XSS，来学学SSTIweb361首先测试出get的参数名为：name。

TurkeyMan·2023-11-22 15:16

【wp】2023第七届HECTF信息安全挑战赛 Web

伪装者考点：http协议+flask的session伪造+ssrf读取文件首先根据题目要求就行伪造HTTP这里不多说，比较基础然后下面得到是个登入页面，我们输入zxk1ing得到说什么要白马王子，一眼session

文大。·2023-11-20 15:00

【Web】Ctfshow SSRF刷题记录1

核心代码解读curl_init()：初始curl会话curl_setopt()：会话设置curl_exec()：执行curl会话,获取内容curl_close()：会话关闭①web351post:url=http://127.0.0.1/flag.php或者url=file:///var/www/html/flag.php查看源码②web352-353前置知识：127.1会被解析成127.0.0.

Z3r4y·2023-11-19 15:02

Pikachu漏洞练习平台之SSRF(服务器端请求伪造)

注意区分CSRF和SSRF：CSRF：跨站请求伪造攻击，由客户端发起；SSRF：是服务器端请求伪造，由服务器发起。

Myon⁶·2023-11-18 23:05

SSER服务器请求伪造

SSRF漏洞文章目录SSRF漏洞概述SSRF原理SSRF危害SSRF利用文件访问端口扫描本地文件读取内网应用指纹识别攻击内网web应用注意:SSRF防御过滤输入过滤输出SSRF挖掘服务器会根据用户提交的

抠脚大汉在网络·2023-11-18 22:44

生命在于研究——CVE-2021-22214记录

二、漏洞详情1、漏洞简介GitLab存在前台未授权SSRF漏洞，未授权的攻击者也可以利用该漏洞执行SSRF攻击（CVE-2021-22214）。

易水哲·2023-11-16 11:58

漏洞原理——ssrf

一、什么是SSRF1、简单了解SSRF(Server-SideRequestForgery，服务器端请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞，一般情况下，SSRF攻击的目标是外网无法访问的内网系统

md5_NULL·2023-11-14 01:28

浅谈php原生类的利用 2(Error&SoapClient&SimpleXMLElement)

除了上篇文章浅谈php原生类的利用1(文件操作类)_phpspl原生类_葫芦娃42的博客-CSDN博客里提到的原生利用文件操作类读文件的功能，在CTF题目中，还可以利用php原生类来进行XSS,反序列化，SSRF

葫芦娃42·2023-11-13 09:31

1021.安全资源共享

西安鹏程网络安全攻防课程Online-Security-Videos–Vulhub系列视频Online-Security-Videos–米斯特Web安全攻防视频Online-Security-Videos–SSRF

weixin_30906671·2023-11-12 03:05

安全资源共享

西安鹏程网络安全攻防课程Online-Security-Videos–Vulhub系列视频Online-Security-Videos–米斯特Web安全攻防视频Online-Security-Videos–SSRF

z-pan·2023-11-12 03:05

SSRF漏洞原理攻击与防御(超详细总结)

SSRF漏洞原理攻击与防御目录SSRF漏洞原理攻击与防御一、SSRF是什么？

零点敲代码·2023-11-11 04:50

SSRF 服务端请求伪造, 简介,SSRF实验, 漏洞探测, 绕过技巧, SSRF防御

SSRF服务端请求伪造一,介绍SSRF（Server-SideRequestForgery，服务器端请求伪造）是一种恶意网络行为，攻击者可以利用这种漏洞发送来自服务器的请求，以访问或操作服务器通常无法访问的内部资源

DeltaTime·2023-11-10 21:51

PTE_SSRF漏洞复现（Day1）

Web安全基础-请求伪造漏洞SSRF：服务器端请求伪造，由攻击者构造请求，由服务端发起请求的一个安全漏洞，能够请求到与它相连而与外网隔离的内部系统。

tacooo·2023-11-09 00:51

Weblogic ssrf漏洞复现

uddiexplorer应用2.漏洞点三、漏洞复现1.获取容器内网ip2.VULHUBWeblogicSSRF漏洞docker中centos6无法启动的解决办法3.准备payload4.反弹shell一、漏洞描述SSRF

只为了拿0day·2023-11-06 10:09

【漏洞复现】weblogic-SSRF漏洞

感谢互联网提供分享知识与智慧，在法治的社会里，请遵守有关法律法规文章目录漏洞测试注入HTTP头，利用Redis反弹shell问题解决Path:vulhub/weblogic/ssrf编译及启动测试环境dockercomposeup-dWeblogic

过期的秋刀鱼-·2023-11-05 14:27

网络安全进阶学习第二十一课——XXE

文章目录一、XXE简介二、XXE原理三、XXE危害四、XXE如何寻找五、XXE限制条件六、XXE分类七、XXE利用1、读取任意文件1.1、有回显1.2、没有回显2、命令执行`（情况相对较少见）`3、内网探测/SSRF4

p36273·2023-11-04 10:05

SSRF 篇

一、SSRF漏洞1、漏洞概述：服务器端请求伪造，是一种由攻击者构造请求，由服务端发起请求的安全漏洞，一般情况下，SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的，所以服务端能请求到与自身相连而与外网隔离的内部系统

YUkawa539·2023-11-02 14:59

pikachu SSRF (Server-Side Request Forgery 服务器端请求伪造)（皮卡丘漏洞平台通关系列）

目录一、官方介绍二、开始闯关吧第1关SSRF(curl)1、file协议查看本地文件2、ftp协议查看内网ftp服务器上的文件3、dict协议扫描内网主机开放端口第2关SSRF(file_get_content

仙女象·2023-10-31 12:20

web常见漏洞原理，利用，防御（思路

web常见漏洞原理，利用，防御1.SQL注入原理利用防御2.XSS(Cross-sitescripting)原理利用防御3.CSRF(Cross-siterequestforgery)原理利用防御4.SSRF

_slience·2023-10-31 07:42

[NSSCTF 2nd] web刷题记录

./1.php得到flagMyBox考点：ssrf，ApacheHTTPServer路径穿越漏洞，反弹shell非预期解直接读取环境变量/?u

Sx_zzz·2023-10-31 03:49

云原生-AWS EC2使用、安全性及国内厂商对比

目录什么是EC2启动一个EC2实例连接一个实例控制台sshSecuritygroups规则默认安全组与自定义安全组安全性操作系统安全密钥泄漏部署应用安全元数据造成SSRF漏洞出现时敏感信息泄漏网络设置错误厂商对比参考本文通过实操

lady_killer9·2023-10-30 11:49

SSRF服务器端请求伪造学习简记

SSRF简介SSRF作用如何发现SRFF漏洞SSRF利用SSRF相关的函数遍历某些端口进而扩大攻击面。

CZMM@dehua·2023-10-30 05:44

SSRF漏洞、SQL注入、CSRF漏洞、XXE漏洞

SSRF漏洞1.我理解的定义：攻击者将伪造的服务器请求发给一个用户，用户接受后，攻击者利用该安全漏洞获得该用户的相关信息2.原理：3.场景：（1）分享（2）转码（3）翻译（4）图片加载、下载（5）图片、

Fly_Mojito·2023-10-29 23:56

Apache Solr RemoteStreaming 文件读取与SSRF漏洞

0x00简介Solr是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口。用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；也可以通过HttpGet操作提出查找请求，并得到XML格式的返回结果.0x01漏洞概述ApacheSolr是一个开源的搜索服务器。在ApacheSolr未开启认证的情况下，攻击者可直接构造特定请求开启特定配置，并最终

5f4120c4213b·2023-10-29 22:15

CSRF跨域请求伪造

1.SSRF服务端请求伪造（外网访问内网）SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

Frilled Lizard·2023-10-27 14:37

Lilishop 开源商城系统代码审计

文章分享了比较有意思的SSRF利用方式。0x00前言Lilishop开源商城系统是基于SpringBoot的全端开源电商商城系统，是北京宏业汇成科技有限公

zkzq·2023-10-26 13:40

buuctf [第二章 web进阶]SSRF Training

[第二章web进阶]SSRFTraining源码审计分析：gethostbyname函数私有地址绕过var_dump(flag.php)题目已给出源码源码审计$url=$_GET['url'];if(!empty($url)){safe_request_url($url);}GET方式传入url赋值给$url检测url是否为空不为空则执行safe_request_url函数functionchec

老young可爱·2023-10-25 22:22

[第二章 web进阶]SSRF Training 1

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档[第二章web进阶]SSRFTraining1题目一、做题步骤1.第一种方法2.第二种方法题目BUUCTF的[第二章web进阶]SSRFTraining1一、做题步骤1.第一种方法在simplechallenge中填写http://127.0.0.1/flag.php获得flag{ug9thaevi2JoobaiLiiLah4zae6

林本·2023-10-25 22:50

buuctf[第二章 web进阶]SSRF Training 1

1.点击链接，进行代码审计>24==$int_ip>>24||ip2long('10.0.0.0')>>24==$int_ip>>24||ip2long('172.16.0.0')>>20==$int_ip>>20||ip2long('192.168.0.0')>>16==$int_ip>>16;//判断是否是私有地址，是则返回1}//自定义函数2functionsafe_request_url(

一整个宇宙的繁星·2023-10-25 22:47

WAF,Yakit,SSH 小技巧

文章目录WAF,Yakit,SSH小技巧1.WAF文件上传绕过2.Yakit暴力破解3.SSH免密码登录4.SSRF配合redis未授权漏洞4.1安装ssh4.2redis未授权4.3安装redis4.4Gopher

来日可期x·2023-10-25 02:18

CTFHub-SSRF-读取伪协议

WEB攻防-SSRF服务端请求&Gopher伪协议&无回显利用&黑白盒挖掘&业务功能点-CSDN博客伪协议有：file:///—访问本地文件系统http:///—访问HTTP(s)网址ftp:///—访问

携柺星年·2023-10-24 20:08

CTFhub-SSRF-内网访问

##尝试访问位于127.0.0.1的flag.php吧根据提示直接在网站后面输入127.0.0.1/flag.phphttp://challenge-b7a0a81e1343f3e4.sandbox.ctfhub.com:10800/?url=127.0.0.1/flag.php得到flag:ctfhub{56986eb47f8992c03d37e600}

携柺星年·2023-10-24 20:38

CTFhub-SSRF-端口扫描

根据提示：来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦,用数字生成器生成8000-9000的数字在线生成1到10000阿拉伯数字-批量之家通过burp抓包爆破爆破需要在url后添加127.0.0.1：根据爆破结果，端口是8335

携柺星年·2023-10-24 20:31

NSSCTF第8页（2）

[LitCTF2023]就当无事发生没有环境[MoeCTF2022]ezhtml在js代码找到了flag[HNCTF2022WEEK2]ez_ssrf题目描述说让我们访问index.php,看到了代码传入的

呕...·2023-10-23 20:55

[转载]kali awvs安装

AWVS能够针对SQL注入、XSS、XXE、SSRF、主机头注入以及4500多个其他web漏洞执行精确的测试，并通过内置的

安哥拉的赞礼·2023-10-23 15:09

Web渗透测试---Web TOP 10 漏洞

文章目录前言一、注入漏洞二、跨站脚本（xss)漏洞三、文件上传漏洞四、文件包含漏洞五、命令执行漏洞六、代码执行漏洞七、XML外部实体（XXE）漏洞八、反序列化漏洞九、SSRF漏洞十、解析漏洞前言常见的漏洞有注入漏洞

Destiny,635·2023-10-22 07:35

SSRF漏洞深入学习

SSRF漏洞深入学习0x01基础知识1、SSRF漏洞简介2、主要攻击方式：3、漏洞形成原理：4、漏洞的危害：5、漏洞分类0x02漏洞检测1、漏洞验证:2、漏洞的可能出现点：0x03绕过方法：1、绕过限制为某种域名

Jokermans·2023-10-21 12:59

SSRF漏洞详解与利用

永远是少年啊·2023-10-21 12:29

Discuz3.4X ssrf漏洞学习与利用

Discuz3.4Xssrf漏洞学习与利用1.ssrf简介SSRF(Server-sideRequestForge,服务端请求伪造)。

sangfor_edu·2023-10-21 12:59

安鸾靶场之SSRF漏洞实操

SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。

wakeuppls·2023-10-21 12:59

php curl ssrf,ssrf漏洞学习(PHP)

正好ssrf在内网这一块也是比较有用的。于是现在学习一下。我这里面是以php里面的curl为例子来学习的。

拖狗老师·2023-10-21 12:59

SSRF漏洞学习

1、SSRF概念SSRF（Server-SideRequestForgery:服务器端请求伪造）是一种由攻击者构造形成并由服务端发起恶意请求的一个安全漏洞。

wawyw~·2023-10-21 12:58

【SSRF漏洞】实战演示超详细讲解

blog‍博主研究方向：web渗透测试、python编程博主寄语：希望本篇文章能给大家带来帮助，有不足的地方，希望友友们给予指导————————————————实战演练一、实战discuz3.1版本的ssrf

摆烂阳·2023-10-21 12:28

SSRF漏洞靶场

SSRF（Server-SideRequestForgery，服务端请求伪造）是指攻击者向服务端发送包含恶意URL链接的请求，借由服务端去访问此URL，以获取受保护网络内的资源的一种安全漏洞。

隔壁Cc·2023-10-21 12:57

ssrf漏洞学习

木…·2023-10-21 12:54

weblogic-ssrf漏洞判定（一）

就目前小白学习情况，暂时认为weblogic中此两处存在SSRF漏洞隐患，SSRF漏洞的基本概念在此就不做阐述了。

RabbitMask·2023-10-21 06:54

攻防世界 -- very_easy_sql

先看题题目描述什么也没有点进去题目场景看看youarenotaninneruser,sowecannotletyouhaveidentify~只能内部访问登录看下页面源代码16行有一行注释把use.php加到URL后边看一下到这可以判断出是SSRF

海底月@·2023-10-21 06:40

推荐频道

ssrf