前言
有没有一种工具,既可以自动检测SSRF漏洞,同时又可以对其进行利用呢?答案是肯定的,那就是SSRFmap。
SSRFmap介绍
SSRFmap是由@swisskyrepo开发的一款自动SSRF漏洞扫描和利用工具,它目前在Github上获得了2.6k 的 Star,该工具共有15位参与者做出了积极的贡献。
此工具中包括了各种功能,能够自动对特定的目标进行漏洞扫描,并尝试对其进行利用。这就意味着,只需一个简单的命令,就可以在无需人工介入的情况下,完成对特定目标的漏洞发掘和利用。这无疑大大节省了安全专家和研究人员的时间和精力。
总的来说,SSRFmap是款集扫描和利用于一身,实用且高效的网络安全工具。正因为这些多样化和高效化的特性,使得SSRFmap在网络安全领域中独树一帜。
安装与使用
$ git clone https://github.com/swisskyrepo/SSRFmap
$ cd SSRFmap/
$ pip3 install -r requirements.txt
$ python3 ssrfmap.py
usage: ssrfmap.py [-h] [-r REQFILE] [-p PARAM] [-m MODULES] [-l HANDLER]
[-v [VERBOSE]] [--lhost LHOST] [--lport LPORT]
[--uagent USERAGENT] [--ssl [SSL]] [--level [LEVEL]]
optional arguments:
-h, --help show this help message and exit
-r REQFILE SSRF Request file
-p PARAM SSRF Parameter to target
-m MODULES SSRF Modules to enable
-l HANDLER Start an handler for a reverse shell
-v [VERBOSE] Enable verbosity
--lhost LHOST LHOST reverse shell
--lport LPORT LPORT reverse shell
--uagent USERAGENT User Agent to use
--ssl [SSL] Use HTTPS without verification
--proxy PROXY Use HTTP(s) proxy (ex: http://localhost:8080)
--level [LEVEL] Level of test to perform (1-5, default: 1)