文章总结： 本文分享渗透实战案例，利用URL@符号特性绕过平台链接校验，结合IPLogger工具构造追踪链接。当用户访问主页时，自动加载像素图片泄露IP、位置及设备信息。该案例揭示了基于URL解析差异的逻辑漏洞风险，建议后端强化URL格式校验以防止信息泄露。 综合评分： 80 文章分类： 渗透测试,实战经验,WEB安全,红队,漏洞分析

渗透实战：SSRF新姿势-仅需一个链接，访客的IP、设备、位置全曝光

原创

0x66安全 0x66安全

0x66安全

2026年6月10日 20:04 广东

在小说阅读器读本章

去阅读

最近对一个知识类社群平台进行渗透测试。

平台允许专业人士、达人和内容创作者通过提供付费一对一咨询、小班课或会员指导，实现知识变现。用户可以创建个人主页展示专长，设置可预约的时间段，并安全收取服务费用。

在对目标主域名进行常规安全测试时，我碰到了一个注册页面。

页面里有一项必填内容：个人主页链接。而且平台要求非常明确：这个链接必须是它自己的域名（这里称为 [*.test.com]）。

我随手试填了几个链接，比如 www.baidu.com、www.bilibili.com。浏览器弹窗提示：“请输入有效的平台个人主页地址”。

看来前端做了校验，而且是域名白名单模式——只允许以 https://test.com 开头的链接。

这时候我想起了一个很老但经常被忽视的URL特性：@ 符号。于是构造了这样一个链接：

https://test.com@[恶意域名]

在URL中，@ 符号前面的部分会被浏览器视作用户名信息（通常用于HTTP认证），而实际请求的主机名是 @ 后面的内容。

举个例子：浏览器访问 https://[email protected]，实际解析的是 b.com。

带着这个思路，我把构造好的链接填了进去——居然没有触发前端校验，直接通过了！

这意味着后端可能只检查了链接是否以目标域名开头，却没有对整体格式做严格过滤。一个典型的逻辑漏洞。

正常接下来应该尝试使用SSRF进行内网探测或者看是否存在XSS等漏洞。

1、SSRF内网探测

https://[test.com]@127.0.0.1:[端口]/[路径]https://[test.com]@192.168.1.1

2、XSS

https://[test.com]@javascript:alert(1)//https://[test.com]@data:text/html,<script>alert(1)</script>

但是本次试验一下新姿势

这时候我用到了一个外部工具：IPLogger 追踪像素。

简单介绍一下：IPLogger 提供一种不可见的1×1像素图像。当这张图片被加载时，它会默默收集访问者的IP地址、地理位置、设备型号、浏览器版本等敏感信息。

网址如下：

https://iplogger.org/tracking-pixel/

我提交了一个正常的个人链接，用拦截工具把请求中的链接替换成了 IPLogger 的跟踪URL。

接下来，只要别人访问主页就会触发采集他的详细个人信息：IP地址、操作系统、浏览器指纹

这里使用其他用户访问其主页，发现成功获取到其个人信息

📎 获取方法

整理了一份常用工具和笔记，后台回复：资料

回复加群获取交流群

⚠️ 最后必看 – 免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任。

本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。

如您在使用过程中存在任何非法行为，需自行承担相应后果。本工具来源于网络，若有侵权请联系删除，请勿用于商业行为！

📚 往期推荐

微信号: 关注公众号获取 | 扫码关注了解更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x66安全 0x66安全 0x66安全《渗透实战：SSRF新姿势-仅需一个链接，访客的IP、设备、位置全曝光》