实战PiKachu靶场：SSRF漏洞利用与防御全攻略（附PHP代码示例）

实战PiKachu靶场：从零到一拆解SSRF漏洞的攻防艺术

如果你刚开始接触Web安全，可能会觉得那些听起来很酷的漏洞离自己很远。但当你真正在PiKachu这样的“新手村”靶场里，亲手让一个看似无害的图片上传功能，变成刺探内网服务器的“眼睛”时，那种感觉是完全不同的。SSRF，这个听起来有点拗口的“服务端请求伪造”，恰恰是许多大型安全事件的幕后推手。它不像SQL注入那样直接，也不像XSS那样直观，但它能造成的破坏范围，往往超乎想象——从窃取内网敏感文件，到攻击防火墙后的Redis、数据库，甚至成为整个内网沦陷的跳板。今天，我们就抛开那些枯燥的理论，直接钻进PiKachu靶场，用实战的视角，一层层剥开SSRF的外壳，看看它究竟如何运作，以及我们作为开发者，该如何在代码层面筑起坚固的防线。

1. 初识SSRF：为什么你的服务器会成为攻击者的“跳板”？

简单来说，SSRF就是“借刀杀人”。攻击者无法直接访问目标内网资源，但他发现你的Web应用有一个功能：可以根据用户提供的URL，去获取那个URL的内容（比如生成网页缩略图、导入远程文件、发起Webhook回调）。如果这个功能没有对用户输入的URL做严格的检查和限制，攻击者就可以操纵你的服务器，向任意地址发起请求。这时，你的服务器就变成了攻击者的“代理”或“跳板”。

关键在于视角的转换。从安全角度看，服务器通常处于一个受信任的内部网络区域，它可以访问许多外部客户端无法直接触及的资源，比如：

• 数据库的管理后台（如192.168.1.10:8080/phpmyadmin）
• 云平台或容器编排工具的元数据服务（如169.254.169.254）
• 内部使用的API接口（如http://internal-api.company.com/v1/user）
• 甚至是一些配置不当、仅监听内网端口的服务（如Redis的6379端口，Memcached的11211端口）

SSRF漏洞的威力，正源于此。攻击者通过一个对外公开的Web应用漏洞，实现了对内部网络的“窥视”和“触碰”。在PiKachu靶场中，这种场景被高度简化并呈现出来，让我们可以安全地体验攻击链的完整过程。

注意：许多开发者在设计“从远程获取资源”的功能时，思维停留在“用户会输入一个正常的外网图片链接”上，而忽略了服务器本身网络位置的特权性。这种信任边界的模糊，是SSRF滋生的温床。

2. 深入PiKachu靶场：两种经典SSRF漏洞场景实战复现

PiKachu靶场精心设计了两个关卡，分别对应PHP中两种最常引发SSRF的函数：curl_exec()和file_get_contents()。我们将一步步操作，并深入分析背后的代码逻辑。

2.1 场景一：cURL的“协议滥用”与内网探测

第一个关卡通常是一个简单的URL请求功能界面。作为用户，我们输入一个网址，服务器会去抓取那个网址的内容并显示给我们。

漏洞代码逻辑分析 当我们查看源码（或根据经验推断），其核心代码结构往往类似于下面这样：

<?php
if (isset($_GET['url'])) {
    $url = $_GET['url'];
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, false);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    // 关键问题：这里没有对$url进行任何过滤和校验！
    $result = curl_exec($ch);
    curl_close($ch);
    echo $result;
}
?>

这段代码的问题一目了然：它直接信任了用户输入的$_GET[‘url’]，并交给了curl_exec()去执行。cURL库功能强大，支持众多协议，