文章总结： 本文介绍三种简单实用的SSRF黑名单绕过技巧：使用数字IP（如2130706433替代127.0.0.1）、URL编码混淆（如%2561替换字母a）和利用开放重定向漏洞。文章指出多数防御仅依赖关键词黑名单，实战中通过Burp工具微调字符即可突破边界，强调这些方法在渗透测试中的高效性。 综合评分： 82 文章分类： WEB安全,渗透测试,红队,实战经验,安全工具

赏金猎人包里常备：SSRF黑名单绕过三板斧

原创

升斗安全XiuXiu 升斗安全XiuXiu

升斗安全

2026年4月23日 07:55 广东

在小说阅读器读本章

去阅读

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

很多SRC后台或企业内网应用都会对SSRF做拦截，一看127.0.0.1就报警，但这往往只是一层窗户纸。今天不聊高深理论，只聊在Burp里随手改几个字符就能绕过的骚操作。看懂这篇，你手里那把“内网钥匙”又能多开几扇门。

挖洞久了就会发现，现在稍微有点安全意识的应用，都懂得在出口处设个“保安”。你想通过stockApi参数去瞅一眼127.0.0.1，刚发出去，对面直接弹回来一个冷冰冰的Forbidden。

但这真的能拦住我们吗？大多数开发写的黑名单，在实战里就是个防君子不防小人的摆设。下面这几个小技巧，属于是包里常备的“开锁工具”，简单到只需改改Host、加个百分号，边界瞬间就没了。我们一起来看看下面这三招：

第一招：换个马甲就不认识了

遇到直接封死127.0.0.1或localhost的，连字典都不用跑。我们可以直接换个“身份证号”。

• 数字IP的玩法： 127.0.0.1 在计算机眼里其实只是个数字 2130706433。有的地方解析宽松，你甚至直接写 127.1 或者 0（没错，在某些系统里0就代表本机），它就不认识了。
• 域名嫁衣： 直接在请求里写内网地址太直白？去spoofed.burpcollaborator.net解析个A记录指回127.0.0.1。它以为你在访问外网合法域名，实际上数据包兜了一圈又回自家后院了。

第二招：绕口令式的URL混淆

有些过滤规则写得特别死，只认小写的/admin或者明文的http。这时候就用到了最经典的“文字游戏”。

比如你想看后台，刚敲完http://127.1/admin，又被拦了。别急，它拦的是admin里的那个字母a对吧？在Burp里，把那个a用双重URL编码包一下，变成%2561。

原本那个凶神恶煞的拦截页面，大概率直接就消失了。这就好比保安只认识穿黑衣服的贼，你把衣服反着穿，他就愣在原地了。

第三招：找个“内鬼”带路

如果目标网站本身支持跳转功能，或者你发现了一个开放重定向漏洞，那SSRF防御基本就是纸糊的。

思路是这样的：你不让我直接访问内网敏感地址？行，我访问我自己服务器上的一个302跳转。我的服务器接到请求后，告诉浏览器：“走，去http://127.0.0.1/admin”。

这里有个很狡猾的细节：有些WAF只检查第一次请求的Host，发现是合法外网地址就放行了。等到了跳转环节，它甚至可能因为协议从http切换到了https，或者跳转状态码不同，直接就晕了，眼睁睁看着数据流向内网。

SSRF的防御其实是一门手艺活，光靠黑名单关键词匹配，就像在门口放了个稻草人——看着吓人，风一吹就倒了。

很多时候，赏金就在这些细小的字符变换之间。与其盯着扫描器报的Low级别漏洞，不如在Burp Repeater里多改几个大小写、多加几个百分号试试。毕竟，内网的那扇门，往往比你想象得要薄。

挖洞挖到瓶颈期了？

关注本号，不定期更新一线实战复盘，带你从“看到漏洞”进阶到“看穿漏洞”。觉得有用的话，点个在看分享给一起挖洞的兄弟，独乐乐不如众乐乐！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu 升斗安全XiuXiu《赏金猎人包里常备：SSRF黑名单绕过三板斧》