免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!所有工具安全性自测!!!VX:baobeiaini_ya
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把夜组安全“设为星标”,否则可能就看不到了啦!
工具介绍
Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。
运行原理
-
捕获参数中存在URL链接特征的请求包 -
参数值替换为BurpSuite Collaborator的payload(类似DNSLOG) -
重新发包, 并监听BurpSuite Collaborator -
如果BurpSuite Collaborator收到目标站点发出的请求(HTTP请求),则疑似存在SSRF漏洞 -
手动确认
插件截图
Features
-
[x] 插件的启动/关闭取决于BurpSuite的被动扫描状态 -
[x] 支持扫描Proxy、Repeater -
[x] 可疑点使用dnslog探测 -
[x] 线程池大小可配置 -
[x] 支持JSON请求体的扫描 -
[x] 支持XML请求体的扫描 -
[x] 重复流量过滤 -
[x] 重复流量过滤器的缓存持久化 -
[x] 配置持久化 -
[ ] 接入SRC厂商提供的SSRF靶子 -
[ ] 探测127.0.0.1消除误报 -
[ ] 自动 Bypass
工具获取
点击关注下方名片进入公众号
回复关键字【250213】获取下载链接
原文始发于微信公众号(夜组安全):基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
原文始发于微信公众号(夜组安全):基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论