免责声明

本博客文章仅供教育和研究目的使用。本文中提到的所有信息和技术均基于公开来源和合法获取的知识。本文不鼓励或支持任何非法活动，包括但不限于未经授权访问计算机系统、网络或数据。

作者对于读者使用本文中的信息所导致的任何直接或间接后果不承担任何责任。包括但不限于因使用本文所述技术而可能导致的法律诉讼、财产损失、隐私泄露或其他任何形式的责任。

在进行任何渗透测试或安全研究之前，请确保您已获得所有必要的授权，并遵守适用的法律和道德准则。未经授权的安全测试可能违反法律，并可能导致严重的法律后果。

本文中的内容仅供参考，不应被视为专业建议。在进行任何安全相关活动之前，建议咨询具有相应资质的专业人士。

作者保留对本博客文章的所有权利，并有权在未经通知的情况下进行修改或删除。

正文部分

前期准备：

        目标：学习 SSRF 漏洞并利用

        系统环境：

                攻击机：Windows 10

                靶机：192.168.162.100:8085（Ubuntu => docker => iwebsec）

                僚机：192.168.162.27:9999（kali-2022）

        工具：

                Google浏览器

01-SSRF漏洞文件读取

这一关就读取一下当前服务器的文件内容

可能看的比较迷，读取一下 /etc/passwd 看看情况

02-SSRF漏洞内网探测

这一关使用 kali 打开一个 web 服务，模拟内网 web 服务器

03-SSRF漏洞内网应用攻击

这一关就在上一关的基础上进行攻击。上一关中内网服务器上有一个文件包含漏洞，利用这个漏洞包含内网服务器中的文件进行读取

在网页中包含这个 1.txt 文件

查看一下 /etc/passwd 的内容