【2025版】最新基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件|漏洞探测,从零基础到精通,收藏这篇就够了

最新推荐文章于 2025-07-14 17:13:18 发布
最新推荐文章于 2025-07-14 17:13:18 发布
阅读量914 收藏 20
点赞数 14
CC 4.0 BY-SA版权
分类专栏: 程序员 网络安全 编程 文章标签: 数据库 自动化 sql 前端 python java php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/logic1001/article/details/146102584

0x01 工具介绍

JAuto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。

注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️****"否****则可能就看不到了啦!

下载地址在末尾

0x02 功能简介

运行原理

  • 捕获参数中存在URL链接特征的请求包

  • 参数值替换为BurpSuite Collaborator的payload(类似DNSLOG)

  • 重新发包, 并监听BurpSuite Collaborator

  • 如果BurpSuite Collaborator收到目标站点发出的请求(HTTP请求),则疑似存在SSRF漏洞手动确认

插件截图

0x03更新说明

暂无

0x04 使用介绍

Burpsuite-Extension加载插件即可开始使用

注意事项

仅支持新版支持Montoya API的Burp Suite, 大概是2023.3之后的版本

0x05 内部星球VIP介绍-V1.4(福利)

    如果你想学习更多**渗透测试技术/应急溯源/免杀/挖洞赚取漏洞赏金/红队打点**欢迎加入我们**内部星球**可获得内部工具字典和享受内部资源,****每1-2天更新1day/0day漏洞刷分上分******([2025POC更新至3500+](http://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247485481&idx=2&sn=b56317ebe3490c7bce5a889c3643e1cd&chksm=cf16ae99f861278fc9e1a86cb7814fb031c853ecb1e121614504e0709e04be8d46d11073ebca&scene=21#wechat_redirect))****,**包含网上一些**付费****工具及BurpSuite自动化漏****洞探测插件,AI代审工具等等**。Fofa高级会员,CTFshow等各种账号会员共享。详情直接点击下方链接进入了解,觉得价格高的师傅可后台回复" **星球** "有优惠券名额有限先到先得!全网资源最新最丰富!**(已有1500多位师傅加入,价格随人数进行上涨早加入早享受)**

👉**点击了解加入–>>内部VIP知识星球福利介绍V1.4版本-1day/0day漏洞库及内部资源更新**

结尾

免责声明

获取方法

公众号回复20250221获取下载地址和在线试用

最后必看

文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具或文章或来源于网络,若有侵权请联系作者删除,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
侵权,请联系删除。

日志分析工具-应急响应实战笔记
jihaichen的博客
10-23 1073
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、 CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像使用 SQL 语句 一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。
浅谈SSRF漏洞之基础
weixin_39664643的博客
11-19 1296
SSRF漏洞利用之 文件读取、端口扫描
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2790
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
BurpSuite Montoya API 详解
weixin_45626840的博客
05-21 980
本文介绍了基于Burp Suite 2025.4.x本的Montoya API扩展开发框架。Montoya API采用模块化设计,通过BurpExtension接口初始化插件,并由MontoyaApi对象提供各功能模块的访问入口。重点解析了Proxy模块的结构,包括请求拦截流程(InterceptedRequest)、处理动作(ProxyRequestAction)等核心接口,阐述了HTTP请求在代理模块中的拦截处理机制。该API为开发者提供了完整的Burp功能集成方案,支持通过事件驱动方式实现对HTTP
路由器后面再接一个路由器怎么设置(二级路由)
weixin_34032792的博客
12-23 4830
路由器后面再接一个路由器怎么设置(二级路由) 总结: 这种设置方法二级路由是在同一个vlan里面的,也就是在同一个局域网里面。   我们在日常上网中有时会遇到这样的问题:A房间有一无线路由器,B房间到A房间有七八十米,我们要在B房间再用手机上无线网的时候信号可能就不好了,中间又有墙,哪么应该怎么办呢?呵呵,其实很简单在B屋加个无线路由用网线接到A就可以了,其实路由后再接路由...
应急响应-日志分析工具
wuqingsix的博客
02-16 856
1、Web - 360星图(IIS/Apache/Nginx)--缺点:支持较少。4、Web -机器语言(任何自定义日志格式字符串)--- 不提示相关安全问题。2、Web - GoAccess(任何自定义日志格式字符串)并自动打包,将收集的文件上传观星平台即可自动分析。3、Web - 自写脚本(任何自定义日志格式字符串)稍微好。4、大型日志分析项目 :elK(见后续)
AWVS最新v24.5.14中文坡解附详细下载安装教程
logic1001的博客
09-13 6359
Acunetix 高级 v24.4 提供了一套全面、高效且易于集成的 Web 应用程序安全测试解决方案,适用于日常发现 Web 应用程序的安全性。获取方式:后台回复【AWVS】获取下载链接。
Burp suite靶场SSRF练习(1)-持续更新中
09-09
Burp Suite 是一款广泛使用的用于网络安全测试的工具,它提供了多种功能,包括手动和自动化的Web应用攻击测试。本文档是关于使用Burp Suite进行SSRF靶场练习的指南。 通过靶场练习,学习者可以更直观地理解SSRF攻击...
SSRF(通过时间判断) 点击保存头像,开启burpsuite抓包
10-07
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种常见的网络安全漏洞,它允许攻击者利用服务器的网络权限发起对外部资源的请求。在这个场景中,通过时间延迟的判断方法,攻击者能探测内网中的某些...
2025年7月最新Burpsuite安装教程
最新发布
m0_71071763的博客
07-14 231
Burp Suite是 PortSwigger 开发的专业Web 安全测试工具,用于渗透测试、漏洞挖掘和 Web 应用安全评估。核心特点代理拦截(Proxy):抓包改包,分析请求/响应。漏洞扫描(Scanner,专业):自动检测 SQL 注入、XSS 等漏洞。暴力破解(Intruder):参数枚举、模糊测试。手动测试(Repeater):重放请求,精准调试。插件扩展(BApp Store):增强功能,如自动化漏洞利用。本对比社区:免费,基础功能(Proxy/Repeater/Intruder)。
ssrf漏洞复现
Wincreds的博客
08-25 565
3.给info随便赋一个值,出来了php界面,可以观察到hostname主机和端口,而172.21.0.3是可以绕过127.0.0.1这个条件,我们可以在这个地址上测试,不断的改变端口值,端口不一样,出来的值也会有所区别。2.使用端口访问文件,可以看到有一个过滤条件,它限制了file,dict协议,127.0.0.1和localhost 也不能用,其实就是不想你探测内网端口,也不能读取内网服务文件。6.发现80端口不可用,后续请教同学,经过扫描ip以及分析,得出6379端口也是对外开放,
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
03-02
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
应急响应—日志分析工具
剁椒鱼头没剁椒的博客
11-02 1846
在网上当然还是有很多的日志分析,但是多数都是针对流量的日志分析,很少是针对安全的分析,同时现阶段的安全日志分析工具要不是去购买厂商的技术,要不就是单项的分析,例如360星图,很少有开源的综合性分析的。
DIIRC重磅发布:2024大模型行业应用十大典范案例集
weixin_59191169的博客
06-13 1109
6月5日,由数字产业创新研究中心主办,锦囊专家、首席数字官承办,中国软件行业协会CIO分会、中关村天使投资联盟协办的“2024中国数字企业峰会–成果发布日”成功于线上举办。《2024大模型行业应用十大典范案例集》在百余位行业专家、业内同仁的云端见证下重磅发布。评委会专家针对典型性、实效性、创新性、复杂性和推广性5个维度,对候选案例进行评估,分别择优10个入选编入《2024大模型行业应用十大典范案例集》,本案例集汇集了文化、医药、IT、钢铁、航空、企业服务等行业在大模型应用领域的典范案例。
2024大模型行业应用十大典范案例集(非常详细)零基础入门到精通收藏这一
Python_0011的博客
07-03 1527
报告正文《2024 DIIRC大模型行业应用十大典范案例集》为我们展示了十家行业先锋如何利用大模型技术,优化业务流程,提升服务体验,推动产业创新。这些案例不仅彰显了技术的力量,更指引了未来数字化转型的方向。
蓝队-应急响应-日志分析
weixin_58782362的博客
01-06 2085
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
Windows 防火墙入站和出站
零一魔法
03-20 2371
出站是从本地计算机访问外部网络,例如浏览器发起请求访问网站 - 零一居入站是从外部网络访问本地计算机,例如使用localsend将文件从手机(外部网络)传送到本地计算机。
应急响应之日志分析专题
weixin_51339377的博客
06-01 883
应急响应之日志分析专题
【亲测免费】 应急响应基础:日志分析工具Log Parser与login工具使用详解
gitblog_06583的博客
09-20 826
应急响应基础:日志分析工具Log Parser与login工具使用详解 【下载地址】应急响应基础日志分析工具LogParser与login工具使用详解 本资源文件详细介绍了Log Parser这款微软的日志分析工具,包括其功能、下载、安装步骤、配置环境变量的过程,并展示了如何配合login工具进行日志分析和结果查看。文章...
ssrf漏洞
03-20
嗯,用户让我介绍一下SSRF漏洞。好的,首先我得确保自己正确理解SSRF是什么。SSRF全称是Server-Side Request Forgery,也就是服务器端请求伪造。我记得这是指攻击者能诱使服务器发送恶意请求的一种漏洞。对吧? ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值