文章总结： 本文介绍了SSRF黑名单绕过的三种实战技巧：使用数字IP替代127.0.0.1、通过URL编码混淆敏感路径、利用开放重定向漏洞间接访问内网。文章指出依赖关键词过滤的防御措施存在局限性，并建议渗透测试人员通过修改请求参数中的大小写或特殊字符突破边界。内容聚焦于BurpSuite工具下的快速操作，强调手法简单但能有效绕过常见防护机制。 综合评分： 72 文章分类： 渗透测试,WEB安全,红队,漏洞分析,实战经验

赏金猎人包里常备：SSRF黑名单绕过三板斧

原创

升斗安全XiuXiu 升斗安全XiuXiu

升斗安全

2026年4月23日 07:55 广东

在小说阅读器读本章

去阅读

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

很多SRC后台或企业内网应用都会对SSRF做拦截，一看127.0.0.1就报警，但这往往只是一层窗户纸。今天不聊高深理论，只聊在Burp里随手改几个字符就能绕过的骚操作。看懂这篇，你手里那把“内网钥匙”又能多开几扇门。

挖洞久了就会发现，现在稍微有点安全意识的应用，都懂得在出口处设个“保安”。你想通过stockApi参数去瞅一眼127.0.0.1，刚发出去，对面直接弹回来一个冷冰冰的Forbidden。

但这真的能拦住我们吗？大多数开发写的黑名单，在实战里就是个防君子不防小人的摆设。下面这几个小技巧，属于是包里常备的“开锁工具”，简单到只需改改Host、加个百分号，边界瞬间就没了。我们一起来看看下面这三招：

第一招：换个马甲就不认识了

遇到直接封死127.0.0.1或localhost的，连字典都不用跑。我们可以直接换个“身份证号”。

• 数字IP的玩法： 127.0.0.1 在计算机眼里其实只是个数字 2130706433。有的地方解析宽松，你甚至直接写 127.1 或者 0（没错，在某些系统里0就代表本机），它就不认识了。
• 域名嫁衣： 直接在请求里写内网地址太直白？去spoofed.burpcollaborator.net解析个A记录指回127.0.0.1。它以为你在访问外网合法域名，实际上数据包兜了一圈又回自家后院了。

第二招：绕口令式的URL混淆

有些过滤规则写得特别死，只认小写的/admin或者明文的http。这时候就用到了最经典的“文字游戏”。

比如你想看后台，刚敲完http://127.1/admin，又被拦了。别急，它拦的是admin里的那个字母a对吧？在Burp里，把那个a用双重URL编码包一下，变成%2561。

原本那个凶神恶煞的拦截页面，大概率直接就消失了。这就好比保安只认识穿黑衣服的贼，你把衣服反着穿，他就愣在原地了。

第三招：找个“内鬼”带路

如果目标网站本身支持跳转功能，或者你发现了一个开放重定向漏洞，那SSRF防御基本就是纸糊的。

思路是这样的：你不让我直接访问内网敏感地址？行，我访问我自己服务器上的一个302跳转。我的服务器接到请求后，告诉浏览器：“走，去http://127.0.0.1/admin”。

这里有个很狡猾的细节：有些WAF只检查第一次请求的Host，发现是合法外网地址就放行了。等到了跳转环节，它甚至可能因为协议从http切换到了https，或者跳转状态码不同，直接就晕了，眼睁睁看着数据流向内网。

SSRF的防御其实是一门手艺活，光靠黑名单关键词匹配，就像在门口放了个稻草人——看着吓人，风一吹就倒了。

很多时候，赏金就在这些细小的字符变换之间。与其盯着扫描器报的Low级别漏洞，不如在Burp Repeater里多改几个大小写、多加几个百分号试试。毕竟，内网的那扇门，往往比你想象得要薄。

挖洞挖到瓶颈期了？

关注本号，不定期更新一线实战复盘，带你从“看到漏洞”进阶到“看穿漏洞”。觉得有用的话，点个在看分享给一起挖洞的兄弟，独乐乐不如众乐乐！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu 升斗安全XiuXiu《赏金猎人包里常备：SSRF黑名单绕过三板斧》