原文链接：https://www.bugbountynotes.com/training/tutorial?id=1#

URL跳转漏洞仅是一个url，如： https://www.example.com/?go=https://www.google.com/，当我们访问这个url时，将从example.com跳转到google.com。通常来说，它们被归类到低影响的一类中，甚至，有些程序将它们列入超范围的名单中，且不允许用户访问。那我们能对它们做些什么呢？一年多以前，我发布了这个教程，当时我称之为“全互联网的问题”，因为Facebook发行其APP时，没有严格要求开发人员正确设置他们的白名单。这意味着开发人员可以将他们的跳转URL设置为example.com所允许的所有子域。很多网站都采用了“用Facebook登录”的方式，所以只需要在目标网站上设置一个url跳转漏洞，就可以实现账户接管。

从此之后，Facebook和其他第三方登录的开发者已经做出了相当大的改变，以防止此类攻击。但我们是否仍旧可以利用url跳转漏洞做些手脚呢？我们一起来探索吧！

开始

首先，让我们先找到一个开放式重定向的url，并探索常见的位置来寻找它们。我们来看看当我们在google中搜索site:example.com，并且使用以下模板时会发生什么：（当然，你也可以尝试自己写的变量，你永远不知道会有怎样的发现！）

nurl:go
inurl:return
inurl:r_url
inurl:returnUrl
inurl:returnUri
inurl:locationUrl
inurl:goTo
inurl:return_url

没有发现？好吧，也没事，让我们在试试使用其网站，并在相同的位置寻找。从我的经验看来，大多数网站会在用户发生登录、注销、改密或注册等行为后跳转url，并通过处理url参数来完成这些操作。人们通常会忽视一个关键点——邮件中的链接。这些通常是由第三方操纵的。这些地方都应该是您第一时间要查看的地方，从登录页面开始浏览并测试这些页面。

也不要忘记检查哈希片段！！

提示：试试移动用户代理呢，因为通常移动站点的工作方式不同！

利用url跳转漏洞

此时，我们至少能够发现一个url跳转漏洞，如果还没有发现的话，就继续探索吧！:) 那么，我们一旦发现了一个有效的漏洞，如何利用它呢？下面就是我将使用url跳转漏洞的最常见的利用方式：

通过配置错误的应用程序/登录流程获取口令

想象下面的场景：当我们登录redacted.com时，看到url是这样的returnto=/supersecure，使用你的口令成功登录后，网站将重定向到/supersecure?token=39e9334a，然后才会跳转到主站点去。所以，这是否意味着，如果我们将其设置为returnto=//myevilsite.com，并将这个登录url发送给受害者，，当此网站存在漏洞且用户成功登录网站，那么攻击者可以通过事先准备好的站点（用户就会被重定向到这里）窃取用户的登录口令了。

绕过SSRF / RCE的黑名单

有些网站会将某些请求列入黑名单，从而只允许访问theirsite.com。在他们的域环境中配有开放式的重定向，有时你可以通过绕过这些黑名单来实现SSRF或RCE（视情况而言），但这取决于网站的框架和它们处理重定向的方式是什么。

通过 javascript:alert(0) 进行XSS攻击

这种方式不是每次都能奏效的，这取决于网站是如何重定向的。若其实302跳转，则不会奏效；但如果它是通过JavaScript跳转的，那就能成功。

利用文件上传和移动设备的优势

这种方式我还未曾公开讲过，但还是计划给大家分享。由于各种原因，许多网站允许我们上传自定义文件。通常，在访问这些网站时，系统会自动下载我们上传的这些文件。所以，举个例子来说，你上传了一个zseano.html，并将其链接发送给你的好友，你的好友打开它时，便会自动下载这个html文件。

但是，你知道吗，移动设备在显示这个链接时，并不只显示其链接和标题，而是显示其内容。不要高兴太早，认为自己已经拿到了XSS，因为移动设备上的浏览器不会执行JS。但是，你可以设置可点击的链接，并添加所有精美的CSS/HTML..它们能够泄露引用者。

现在，想象一下这个场景。你向redacted.com上传一个文件，并且注意到他们的登录流程中有returnUrl，且允许.theirdomain.com。那么，你刚刚上传的文件就在cdn.theirsite.com上， 堪称完美。 将returnUrl设置为cdn.theirsite.com/eg/yourfile.html，并将这个链接发送给你的 目标 让他登录。登录后，用户将被重定向到你呈现的文件页面。添加一个漂亮的“点击此处继续”按钮，按钮链接指向你自己的网站，点击后，他们的登录口令将因为引用而泄露*。

话虽如此，但是浏览器通常不会泄漏引用。这对我来说可能是极个别的情况，因为我以前发现过类似的问题。但是这个方法还是值得一试的，你永远不知道它可能会发现什么。

常见的问题和绕过

我总是遇到试图阻止第三方重定向的过滤器。然而，在考虑绕过过滤器之前，人们在测试使用一个开放式重定向的网站的登录流程时，碰到的一个最常见的问题就是没有正确编码这些值。例如，https://example.com/login?return=https://mysite.com/。网站或浏览器或许不能识别其返回参数的格式，因此尝试常规编码总是好的，否则，就尝试双重编码。

https://example.com/login?return=https%3A%2F%2Fmysite.com%2F
https://example.com/login?return=https%3A%2F%2Fexample.com%2F%3Freturnurl%3D%2F%2Fmysite.com%2F

你是否注意到我们在一个链接中放了两个重定向？ 我们需要对最后一次重定向进行双重编码，以便浏览器最后对其进行解码并跳转。有时，我们没能正确的编码，那么，浏览器也不会正确地跳转。

绕过

下面是一些我自己发现的有趣的绕过方式，你可以随时使用，也可以提供其他新的方式。

\/yoururl.com

\/\/yoururl.com

\yoururl.com

//yoururl.com

//theirsite@yoursite.com

https://yoursite?c=.theirsite.com/

https://yoursite.com#.theirsite.com/

https://yoursite.com.thersite.com/

//%2F/yoursite.com

////yoursite.com

https://theirsite.computer/
(如果他们只是检查theirsite.com，.computer是一个有效的tld

https://theirsite.com.mysite.com
将它的域视为你的子域。

/%0D/yoursite.com
也试试%09, %00, %0a, %07

java%0d%0ascript%0d%0a:alert(0), j%0d%0aava%0d%0aas%0d%0acrip%0d%0at%0d%0a:confirm0 ,java%07script:prompt0 ,java%09scrip%07t:prompt0

这就是现在所有的内容，我希望你们能够喜欢，且能根据需要更新某些方式！

翻 译：看雪Logdty

校 对：看雪jasonk龙莲

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法