白帽故事 · 2024年2月1日 0

自动SSRF漏洞扫描与利用工具

前言

有没有一种工具,既可以自动检测SSRF漏洞,同时又可以对其进行利用呢?答案是肯定的,那就是SSRFmap。

SSRFmap介绍

SSRFmap是由@swisskyrepo开发的一款自动SSRF漏洞扫描和利用工具,它目前在Github上获得了2.6k 的 Star,该工具共有15位参与者做出了积极的贡献。

此工具中包括了各种功能,能够自动对特定的目标进行漏洞扫描,并尝试对其进行利用。这就意味着,只需一个简单的命令,就可以在无需人工介入的情况下,完成对特定目标的漏洞发掘和利用。这无疑大大节省了安全专家和研究人员的时间和精力。

总的来说,SSRFmap是款集扫描和利用于一身,实用且高效的网络安全工具。正因为这些多样化和高效化的特性,使得SSRFmap在网络安全领域中独树一帜。

安装与使用


$ git clone https://github.com/swisskyrepo/SSRFmap
$ cd SSRFmap/
$ pip3 install -r requirements.txt
$ python3 ssrfmap.py

  usage: ssrfmap.py [-h] [-r REQFILE] [-p PARAM] [-m MODULES] [-l HANDLER]
                    [-v [VERBOSE]] [--lhost LHOST] [--lport LPORT]
                    [--uagent USERAGENT] [--ssl [SSL]] [--level [LEVEL]]

  optional arguments:
    -h, --help          show this help message and exit
    -r REQFILE          SSRF Request file
    -p PARAM            SSRF Parameter to target
    -m MODULES          SSRF Modules to enable
    -l HANDLER          Start an handler for a reverse shell
    -v [VERBOSE]        Enable verbosity
    --lhost LHOST       LHOST reverse shell
    --lport LPORT       LPORT reverse shell
    --uagent USERAGENT  User Agent to use
    --ssl [SSL]         Use HTTPS without verification
    --proxy PROXY       Use HTTP(s) proxy (ex: http://localhost:8080)
    --level [LEVEL]     Level of test to perform (1-5, default: 1)

工具地址:https://github.com/swisskyrepo/SSRFmap

更多SSRF案例