夜雨聆风
推荐一个SSRF自动化扫描Burp插件
免责声明
本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这些观点和意见仅供参考,不构成任何形式的承诺或保证。本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技术所造成的任何损失或伤害负责。本公众号提供的技术和工具仅限于学习和研究之用,不得用于非法活动。任何非法活动均与本公众号的立场和政策相违背,并将依法承担法律责任。本公众号不对使用本公众号提供的工具和技术所造成的任何直接或间接损失负责。使用者必须自行承担使用风险,同时对自己的行为负全部责任。本公众号保留随时修改或补充免责声明的权利,而不需事先通知。
简介:
推荐一个师傅的ssrf插件,还挺不错的,可以被动扫描ssrf漏洞。
项目描述
Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。
运行原理
1.捕获参数中存在URL链接特征的请求包
2.参数值替换为BurpSuite Collaborator的payload(类似DNSLOG)
3.重新发包, 并监听BurpSuite Collaborator
4.如果BurpSuite Collaborator收到目标站点发出的请求(HTTP请求),则疑似5.存在SSRF漏洞
实操验证
推荐一个自动化扫描SSRF的插件,效果还可以,在一些日常项目可以不错的出货,也通过该插件交过SSRF漏洞案例。
该插件直接安装到burp就行,正确情况下不需要任何其他配置。
该插件会进行被动扫描ssrf漏洞,一旦匹配到类似于url请求到参数,就会自动替换成burp自带的dnslog进行测试。
这里使用一个ssrf靶场进行验证。
http://3qufvwyqxhq7eizsxd0y7cal4ca2yr.oastify.com/rao4k8
关注公众号后台回复【260128】获取下载链接
《往期内容》
开局一个登陆口渗透二十多种方式-公开课
竟然还有搞网络安全的学生不了解校招?真要以后后悔莫及?
Webpack打包js.map泄露导致的通杀0day
API Fuzz结合AI实战获取数据库密码漏洞-实战证书站案例
【edu实战】记⼀次⼩程序泄露16 W+敏感信息,接管18000+账号的 漏洞挖掘
某次攻防突破打点和内网刷分
SRC | 一次路径可控造成0click的账号接管
挖洞实战打法-在线编程平台沙盒逃逸RCE
记一次XXE漏洞实战和getshell-system权限
小程序为什么好挖?某x多个高危实战案例
某985证书站跨平台、跨IP的通杀漏洞
众测实战 | 一次正负叠加导致的支付漏洞
实战一个小细节导致Mysql、Redis沦陷
记一次swagger的深度测试造成第三方API
记一次从抖音日到edu站点的经历
如何在日常渗透中实现通杀漏洞挖掘
记一次实战日穿整个系统getshell-共九个漏洞
记一次非常严重的全校越权信息泄露
XSS 如何乱杀企业SRC -公开课视频
SRC第二期公开课!!超全信息收集!不听白不听!
<干货>微信小程序特有通用漏洞&小程序强开F12开发工具&小程序反编译&Accesstoken泄露
关于网络安全低价考证
网安证书超低价!!网安证书超低价!!网安证书超低价!!,包括 CISP、NISP一级、NISP二级、CISP-PTE、CISP-PTS、CISSP、CISP-IRE 、CISP-IRS 、ISO27001、PMP 、CISAW 等各种网安证书。价格肯定要比大部分机构等都要低,咱们这边一直都是做的性价比
有需要的师傅们可以随时来找我。加我二维码,再往下面就有二维码。
目前我们这边已经输送众多pte、cisp、nisp等网安学员、抄底价格包含培训费用、多次补考费用、考证报名费用,巨额保证金,稳定考证没问题!!(如果你自己知道理想的合理价格,可以自己带着期待的价格找我,你报价,合适直接成交!)
详细了解可以看点击下方链接:
猎洞时刻第三期漏洞挖掘培训
猎洞时刻SRC挖洞培训第三期开设以来也是广受圈内朋友们的支持,也是和团队们共同进步了许多!团队排名、学员战绩、入职大厂也越来越多!
我们是一个综合性的培训,不仅仅是搞企业SRC、Edusrc、CNVD等,也更注重学员的综合挖洞能力,让你能够在安全这个行业上面扎根立足,对于学生还会额外提供校招讲解和资源、规划,更好的入职大厂。 目前第三期上车享受低价优惠,后续第四期涨价不会有任何影响!报名即永久!包永久一对一解答!
一、课程覆盖内容有哪些?
《猎洞时刻SRC挖洞培训第三期》课程原价1699元,现在报名还临时可享部分优惠,越早越便宜!并且是永久每期均可学习!(考证也可加我)
注意!注意!注意!目前第三期接近完结,快开设第四期,到时候会进行涨价,如果想要目前第三期价格优惠,快快滴滴我哦~一次报名永久,包含永久一对一解答!!!
【核心权益】
一次付费,永久学习:
报名后,可永久免费学习所有未来新课(如第四、五期),即使未来涨价也与你无关。
免费赠送过往课程:立即获得第一、二期全部录播课。
学习无忧:直播在晚间进行,方便上班族与学生党;每课均有录播,并提供一对一答疑。
课程安排与服务:
直播:每小几天一次,通常在晚八点半,时长约1.5-2.5小时。
录播:每节课均提供录播,可随时回看。
答疑:提供永久一对一学习答疑服务。
【课程主要覆盖方向】:
覆盖企业赏金SRC,众测赏金,EDUSRC,CNVD和工作项目渗透挖掘。内容方面主要是Web挖洞、小程序挖洞、APP挖洞、JS逆向、云安全、护网培训、项目漏洞实战风险等内容。
以上内容为第三期主体方向,后面第四期、第五期会添加更多新内容,并且无二次收费。一次报名可以永久学习!
每一期课程内容会根据学员的需求而动态添加新内容和技巧!每节课都是几年下来的浓缩课,超多实战案例和技巧,每节课都能学超多量内容!单课动辄十几二十个技巧、实战案例!几十页课件
(以下为随便几个课件页数和文字,量大这一块你不用担心,我不私藏,无保留教学)
二、业内少见被学员喊着涨价的课程
如果说,别人骂割韭菜的培训,是有很多,但是有几个能做到让学员心甘情愿天天喊着让去涨价?一切皆是因为超量的对学员进行付出和解惑。如果有聊天造假,欢迎锤我,都是群里大全发的,我不玩什么造假套路技巧忽悠别人,一切可查。我只想多教一点,为学员真正提供帮助,才能更好有回馈(每天都有已报名学员推荐给身边朋友的)
三、包含永久一对一在线技术解答
我这边不管是你做挖洞学习疑惑,还是找工作,还是说你迷茫了学不会了,简历不会写了,遇到麻烦事情了,都是可以找我一对一解答,全天16h在线。
我这边从来不怕说什么学不会,你有什么网安技术问题、入职、项目问题尽管问我就好,就怕你报名了躺平不学习,除此之外没什么学不会的,不懂就多问我,根据方向好好去干就没什么问题,还有其实什么安全厂商并不多难,不必自己看低自己的!有能力的话
四、课程的特色什么?除了挖洞,有没有就业入职帮助?
课程最主要的特色更注重的是永久一对一解答售后服务,尤其是对于学生党入职安排可以有巨大帮助。
关于学员的入职结果,请看下面的内容:
我们是一个综合性的挖洞培训,不仅仅是搞SRC、赏金,也更注重学员的综合挖洞能力,让你能够在安全这个行业上面扎根立足,对于学生等还会额外提供校招讲解和资源、规划,更好的入职大厂。
在安全厂商学员就职层面,也就是常说的几个安全大厂,无论是长亭、奇安信,还是深信服、绿盟、安恒、启明、360,均有学员遍布,很多的都是从基础薄弱的学生、实习生、或者在职小厂员工成功就职安全厂商正式工。
五、学员在各种SRC的一些成绩
企业赏金SRC
在企业SRC,有不少学员位列2025年榜前十,下面举一些反馈例子,真实可查。
(该部分内容实在太多,可以查看我往期发的技术文章下面有很多学员实战成果介绍。或者加我微信CengLnH 看我朋友圈反馈。下面仅列出近期部分学员反馈。)
EDUSRC
CNVD
六、有没有内部众测赏金项目?
我这边也是有对接的公司,有内部的众测项目,因此拿到项目也会分配个学员们一起挖洞,挖到就是你得钱。其次,对于线下,线上渗透项目,包括护网,拿到名额也会优先分配给学员。
并且内部项目还会拿出非常不错的实战案例进行分享讲解:
七、报名赠送永久知识星球
报名课程,即可赠送永久知识星球,内容含有众多漏洞报告、破解漏扫和插件工具、SRC工具、POC和安全文档等。
八、有没有公开课?
有的兄弟,有的。BiliBili搜索猎洞时刻就能找到。有兴趣的可以看一下我下面讲的第二期的部分课程公开课 企业SRC挖掘XSS、微信小程序漏洞全解和信息收集。
第三期的内容质量只会更高于公开课的第二期。
https://www.bilibili.com/video/BV1GD9kY7EMq/?spm_id_from=333.337.search-card.all.click
【[猎洞时刻]登录口总结二十种漏洞,手撕登录框!】
https://www.bilibili.com/video/BV1qeBMB2ERd?vd_source=bdced03c03ba60be0c5314d5c66b1d2d
https://www.bilibili.com/video/BV1wQJUzrEa7/?spm_id_from=333.337.search-card.all.click&vd_source=a64e6e96032bc2466c05095c13084241
https://www.bilibili.com/video/BV1sE4GeYEMg?spm_id_from=333.788.recommend_more_video.2&vd_source=a64e6e96032bc2466c05095c13084241
九、内部学员还享受更低价考证,无忧虑!
市面价格参差不齐,很多都并不稳定。我这边可以保证是低价格并且还是大型稳定机构。学员可以直接享受最低价格。(非学员也可以咨询我,也有不少优惠) 我这边可以直接给你报内部低价!不可能贵。
包括 CISP、NISP一级、NISP二级、CISP-PTE、CISP-PTS、CISSP、CISP-IRE 、CISP-IRS 、ISO27001、PMP 等证书。
十、报名课程还有哪些其他福利?
1. 在平时,无论是学习挖洞,还是已经在岗工作,遇到的任何安全相关技术问题、入职等,可以直接咨询我本人,只要我会的内容都会进行一对一讲解。
2. 新人需要各种安全相关的视频资源等内容,可以直接找我要,比如网安其他方向,代码审计、内网渗透之类的资源。
3. 报名即刻赠送原本108¥的纷传圈子(同知识星球一样),内容覆盖渗透测试常用工具、漏洞报告、网安书籍等内容。
4. 会有不定时其他大佬进行课程分享,加量不加价。
5. 目前是课程第三期,报名后可以永久每期学习,无二次收费,并且之前第一期,第二期赠送,后面开设第四期、第五期等均可学习。
6. 专项培训,遇到护网等重大项目,会进行专项培训学员能力,尽量让大家都能拿到一个比较好的护网结果。
7. FOFA key会员 共享,md5收费接口代查询。
最后说明&如何联系我
1. 感谢各位师傅们的观看,无论是否报名、考证,只要是网安圈子的都可以加我扩列。
加我吹水、聊天、加安全群、技术交流均可!
2. 如果是课程报名、安全考证也欢迎大家咨询我,一定给大家尽力的优惠。
3. 注册公司、非安全相关人员、黑灰产推广不要加我。
4. 本课程仅用于教学网络安全白帽子,要遵守法律法规,如果有坏心思进行违 法犯罪,从事黑灰产等人员,本团队拒收!
