自动化挖掘SSRF/Redirect/Sqli插件

2023年10月9日13:10:32评论75 views字数 689阅读2分17秒阅读模式

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把Hack分享吧“设为星标”，否则可能看不到了！

8
工具介绍

Burp插件，自动化挖掘SSRF，Redirect，Sqli漏洞，自定义匹配参数。打包了jdk1.8和jdk18版本。

如果感觉对您有帮助，感觉不错的话，请您给个大大的 ⭐️❗️捡到洞欢迎分享喜悦❗️有更好的判断规则，可以提交issue。其他SRC常用漏洞思路，也可提交，扩展进去。

插件使用

开启插件的同时，选择开启SSRF，Redirect，Sqli模块的按钮，dnslog token等。

在Replacements中，可自定义选择匹配的参数，也就是这个漏洞常见的参数点，我也内置了些，自己选择添加删除。

效果展示

低版本burp

高版本burp

V1.1版本更新

添加了请求包响应包匹配选项（基于原请求响应，只有文本正则匹配，不占资源）。

内置了未授权，shiro，ak，swagger，建议开两个窗口，一个用来匹配敏感信息，一个用来检测漏洞。

未授权默认未勾选，用法，进入后台后，勾选上，接口点一遍，会自动删除Cookie，看下方的 Modified 有无正常响应，即可迅速找到未授权接口，页面等。

Bug. Type.输出的为添加时的comment，方便定位什么敏感信息。

下载地址

https://github.com/Lotus6/AutoRepeater

原文始发于微信公众号（Hack分享吧）：自动化挖掘SSRF/Redirect/Sqli插件

密探渗透工具v1.06测试版