如何用SSRF探测内部网络？

这是一个比较私人的网站测试，所以作者把所有敏感部分都做了掩盖，也许我们可以借鉴下原作者的思路。

在翻遍了几个站点之后，我在一个站点中发现，js.example.com站点会从help.example.com中加载一些外部的json文件。

http请求大概是如下：

http://js.example.com/redacted/proxy?redacted=subdomain1&r=/jsonpfile.jsonp?token=undefined

然后，把参数”r”换成其他的，比如：http://google.com 就会出现以下这个错误页面

从返回的错误页面可以知道，这个页面加载了：“http://subdomain1.------private.comhttp://google.com”，并且导致了错误页面。这个时候，我开玩笑的把参数“c”的值“subdomain1”变成“www”就有了下图。事实上我后来发现，我们把这个地方改成private.com的任意不存在的子域名都是可以的。

现在，我们把这个值改成更有趣的东西，比如说：用file://替换http://

我们在回过头来看第一个报错，网站会试图从-----private.com子域加载文本。我就开始在这里做文章。

我猜想这里如果填写其他的内网站点的话，也许会有些收获。这里，我下了些子域名列表，并且把这些用burpsuit爆破这个子域名，如下：

然后我们可以有权进入到一个数据库存储的子域名：

http://js.example.com/redacted/proxy?redacted=www&r=http://subdomain2.----private.com/