ssrf爬虫扫描小工具ssrf_scan

最新推荐文章于 2024-07-24 23:02:50 发布
最新推荐文章于 2024-07-24 23:02:50 发布
阅读量4.5k 收藏 6
点赞数 2
分类专栏: python 文章标签: python 多线程 ssrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CClarence/article/details/52106452
版权
本文介绍了一款使用Python编写的多线程SSRF漏洞扫描工具ssrf_scan。该工具通过扫描IP段,检测特定页面(如SetupUDDIExplorer.jsp)是否存在,并利用该页面对目标IP进行常见端口扫描。作者分享了工具的GitHub链接,但示例中的IP已修复漏洞,因此扫描结果显示ssrf_ip为空。
摘要由CSDN通过智能技术生成

写了一个python爬虫工具多线程扫描ip段ssrf漏洞,例子中的ip是我之前挖掘出的一个电信网站的漏洞,现已被修复,但是SetupUDDIExplorer.jsp页面仍存在。
代码在我的github中:https://github.com/bipabo1l/ssrf_scan

Usage:./ssrf_scan IP/CIDR –t threads
Example:./ssrf_scan.py 10.20.30.0/24 –t 10

这里写图片描述
代码的原理是先判断SetupUDDIExplorer.jsp是否存在,存在则输出并通过SetupUDDIExplorer.jsp页面的url上的ip进行常见端口扫描。
图中例子由于已经修复,所以ssrf_ip为空。

#!/usr/bin/env python
#coding:utf-8
# Author: bipabo1l

import re
import sys
import Queue
import threading
import optparse
import requests
import time
from IPy import IP

printLock = threading.Semaphore(1)  #lock Screen print
TimeOut = 5  #request timeout
ports = ['80'
最低0.47元/天 解锁文章
CClarence
关注
专栏目录
xray——详细使用说明(二)
记录并分享学习安全的知识点..
01-14 1953
前言:上一篇文章已经基本介绍了xray支持的漏洞检测类型和框架结构,下面主要介绍xray使用具体的命令参数。详细可参考上一篇链接: xray——详细使用说明(一)_xiaofengdada的博客-CSDN博客 一、服务扫描 检测单个目标 ./xray servicescan --target url 检测多个目标 ./xray servicescan --target 文件路径 将结果输入到html/json报告中 ./xray servicescan --target url --.
python-SSRF扫描
小小猪的博客
12-13 940
python-SSRF扫描 SSRF概念: 服务端请求伪造(Server-Side Request Forgery),指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 import requests def portsacn(url, rurl): ports = [21, 22, 23, 25, 80, 443, 445, 873, 1080, 1099, 1090, 1521
SSRFTest:SSRF测试工具
05-04
欢迎来到SSRFTest 安装 克隆仓库 生成一个随机的64字节ASCII字符串(我通常只运行import random; ''.join('x' % random.randrange(256) for i in xrange(32))在Python解释器中,对import random; ''.join('x' % random.randrange(256) for i in xrange(32)) )) 将该字符串放入app.secret_key app.secret_key = key = 'SECRET HERE'行上的app.secret_key = key = 'SECRET HERE' (可选)在docker-compose.yml和model.py中更改数据库密码-默认为dbpassword 。 这没有暴露在外面,所以基本上无关紧要 搜索ssrftest.c
ssrf-端口扫描
最新发布
Jz031212的博客
07-24 210
然后点击payload设置payload类型为numbes然后把from设置为8000to设置为9000step设置为1然后开始攻击。等他反应结束点击长度找出最长的那个然后点击响应再点击页面渲染就可以得到了。然后把端口的8000选中。
python getchunk_Extended ssrf search:SSRF智能漏洞扫描工具
weixin_39793434的博客
12-22 150
Extended ssrf searchExtended ssrf search是一款功能强大的SSRF智能漏洞扫描工具,该工具可以通过在请求中设置不同的预定义参数来搜索SSRF漏洞,这些参数包括路径、主机、Header、POST和GET参数。工具下载广大研究人员可以使用下列命令将项目源码克隆至本地:gitclonehttps://github.com/Damian89/extended-ss...
autoSSRF:一款基于上下文的智能SSRF漏洞扫描工具
FreeBuf_的博客
11-18 408
autoSSRF基于上下文识别漏洞,并且适用于大规模扫描任务。
探索安全边界:SSRFmap - 一款强大的SSRF漏洞扫描工具
gitblog_00021的博客
03-23 813
探索安全边界:SSRFmap - 一款强大的SSRF漏洞扫描工具 SSRFmapAutomatic SSRF fuzzer and exploitation tool项目地址:https://gitcode.com/gh_mirrors/ss/SSRFmap 项目简介 是一个由开发者 SwisskyRepo 创建的开源项目,旨在自动化检测和利用服务器端请求伪造(Server-Side Reque...
Web>SSRF(内网,伪协议,端口扫描)
Ynh323的博客
05-02 1970
一、内网访问 题目: 解题思路:1.看到该链接可以传入一个参数url= 2.根据题目意思构造,得到答案 url=http://127.0.0.1/flag.php 二、伪协议读取文件 题目: 解题步骤: 1.先结合题目意思 百度一下 2.url=输入: /?url=file:///var/www/html/flag.php 3.f12访问源代码 三、 端口扫描 题目: 解题思路: 根据题目描述,尝试在80...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具
weixin_46280935的博客
09-10 5550
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
Xray使用的经验分享(xray+burp的使用[套娃测试])
AerYinan的博客
12-23 1万+
xray是一种功能强大的扫描工具。xray 社区版是长亭科技推出的免费白帽子工具平台,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。有趣的功能自己的安全评估工具,,支持常见的web安全问题扫描和自定义po
ssrf-king:用于burp的SSRF插件可在所有请求中自动进行SSRF检测
03-07
:fire: 自卫队 :fire: v1.12最新 burp的SSRF插件,可在所有请求中自动进行SSRF检测 如果您遇到任何问题或想要下面未列出的新功能,请在此表格中创建一个新的问题 即将发布的功能清单 :check_mark: 它将很快有一个用户界面来指定您自己的回叫有效负载 它将很快能够测试Json和XML 测试SMTP SSRF 如何安装/建造 git clone https://github.com/ethicalhackingplayground/ssrf-king gradle build 现在可以在build / libs下找到文件“ ssrf-king.jar”,然后可以将其导入Burpsuite。 另外,goto可以下载编译的文件。 特征 :check_mark: 测试所有外部交互的请求。 :check_mark: 检查是否有任何交互不是用户IP(如果有的话),它是一个开放的重定向。 :check_mark: 提醒用户任何外部交互,包括以下信息:
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
热门推荐
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
SSRFScan:智能扫描SSRF漏洞的安全工具
gitblog_00094的博客
04-23 494
SSRFScan:智能扫描SSRF漏洞的安全工具 项目地址:https://gitcode.com/h4fan/ssrfscan 在网络安全领域,服务器端请求伪造(Server-Side Request Forgery, 简称SSRF)是一种常见的攻击方式,它允许攻击者通过服务器发起请求到内部网络。为了帮助开发者和安全研究人员有效地检测此类漏洞,我们向您推荐一款强大的自动化工具——SSRFSca...
SQL/SSRF!Burp被动代理扫描插件
潇湘信安的博客
06-22 830
这是一款Burpsuite被动代理扫描插件,可支持检测SQL注入、SSRF漏洞。
【ctfhub-ssrf】端口扫描
weixin_52116519的博客
04-28 757
题目 1、手动测试端口。/127.0.0.1:8000,端口用的是:,而不是/ 2、手动太慢,用bp爆破
[ 网络安全]MSSRF (SSRF漏洞利用)工具
03-25 364
必须用*标记注入点,并将访问其他网站所需的请求消息写入request.conf文件。服务器发起了一个访问localhost:80端口的请求。SSRF漏洞利用工具
Facebook 推出查找SSRF 漏洞的新工具
smellycat000的专栏
10-25 181
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士上周四,Facebook 公司发布了一款新工具SSRF Dashboard“ ,旨在帮助安全研究员查找服务器端请求伪造漏洞。根据OW...
CTFHub技能树 Web-SSRF 端口扫描
Senimo
07-01 1040
CTFHub技能树 Web-SSRF 端口扫描 hint:来来来性感CTFHub在线扫端口,据说端口范围是8000-9000哦 启动环境,打开页面为空白,查看URL: http://challenge-bb4e4e995f03b249.sandbox.ctfhub.com:10800/?url=_ 将127.0.0.1:8000-9000拼接入 GET 传参中,使用 BurpSuite 对端口进行爆破: 设置如下 Payload: 通过爆破结果的长度,获取到 flag: ...
PHP SSRF漏洞:file_get_content与fsockopen函数的风险与防范
首先,我们了解了什么是 SSRF,它是一种通过利用 web 应用程序的功能,允许恶意用户通过服务器作为代理,对远程或本地服务器发起攻击的技术。 1. **file_get_contents() 函数**: `file_get_contents()` 是 PHP ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值