获课：aixuetang.xyz/23296/

SSRF（服务器端请求伪造）漏洞的核心危害在于打破了内外网的物理边界，使攻击者能够借用服务端的高权限身份对内网进行探测与攻击。构建一套硬核的SSRF实操方案，需要从环境探测、协议利用、服务攻击及防御绕过四个维度展开。

首先，在内网探针与资产发现阶段，核心目标是精准识别内网存活主机与开放端口。攻击者通常利用响应时间判别法进行端口活性探测，通过向目标内网IP段的不同端口发起请求，根据响应延迟的差异筛选出候选服务。针对无回显（Blind SSRF）场景，则需借助 DNSLog 等 OAST（带外应用安全测试）技术，将生成的唯一子域名作为参数注入，通过监控 DNS 解析记录来验证请求是否成功触发。此外，在云原生环境中，攻击者会重点探测云 Metadata 接口（如 169.254.169.254），以获取 IAM 临时凭证或实例信息，进而实现云资源的横向接管。

其次，在协议扩展与深度利用层面，突破 HTTP 协议的局限是实现高阶攻击的关键。除了常见的 HTTP 和 File 协议外，Gopher 协议因其支持发送任意 TCP 数据流，成为 SSRF 利用中最强大的武器。通过构造符合 Gopher 协议格式的 Payload，攻击者可以向内网发送精心构造的 POST 请求或原始数据包。同时，Dict 协议常被用于探测内网服务的版本信息和运行状态，为后续攻击提供情报支撑。

第三，在远程服务攻击实操阶段，SSRF 往往作为跳板，直接打击内网的高危应用。在 Redis 攻击场景中，攻击者利用 Gopher 协议向 6379 端口发送恶意命令，通过写入 Crontab 计划任务或 SSH 公钥，最终实现远程代码执行（RCE）。在 PHP 环境中，若目标服务器存在 FastCGI 协议暴露（如 php-fpm 监听的 9000 端口），攻击者可通过 SSRF 配合 Gopher 协议，动态修改 PHP 环境变量（如开启 allow_url_include 并设置 auto_prepend_file），从而劫持执行流并注入恶意代码。

最后，在防御绕过与对抗层面，面对企业级安全防护，攻击者需采用多种绕过策略。针对 IP 黑名单过滤，可利用 DNS 重绑定技术，通过自定义 DNS 服务器将 TTL 设置为 0，使域名在合法外网 IP 与非法内网 IP 之间反复解析，从而利用校验与请求之间的时间差绕过检测。针对 URL 白名单或重定向限制，攻击者可寻找目标域下存在的开放重定向（Open Redirect）漏洞，先请求合法的白名单域名，再通过 302 跳转将服务端流量引导至真实的内网目标。

综上所述，SSRF 漏洞的硬核利用并非单一的请求伪造，而是一套融合了网络探测、协议构造、组件攻击与边界绕过的系统性工程。在实际的安全评估中，深刻理解这些底层技术原理，是有效发现并修复内网渗透风险的前提。