SSRFmap Docker部署指南:容器化渗透测试环境搭建
SSRFmap Docker部署指南:容器化渗透测试环境搭建
SSRFmap是一款自动化SSRF模糊测试与漏洞利用工具,通过Docker容器化部署能快速搭建安全、隔离的渗透测试环境。本文将详细介绍如何使用Docker一键部署SSRFmap,让你无需复杂配置即可开展SSRF漏洞检测工作。
🐳 准备工作:Docker环境搭建
在开始部署前,请确保你的系统已安装Docker和Docker Compose。如果尚未安装,可以通过官方文档或系统包管理器完成基础环境配置。
📥 克隆项目仓库
首先需要获取SSRFmap的源代码,执行以下命令克隆项目:
git clone https://gitcode.com/gh_mirrors/ss/SSRFmap cd SSRFmap 🔨 构建Docker镜像
项目根目录中已提供Dockerfile,包含完整的环境配置流程。构建命令如下:
docker build -t ssrfmap:latest . Dockerfile采用Alpine基础镜像,通过多阶段构建安装了Python 3.12.4环境、定制化curl(7.71.0版本)及项目依赖包(如Flask、requests等),确保环境一致性和安全性。
🚀 启动容器化测试环境
使用以下命令启动SSRFmap容器:
docker run -it --rm ssrfmap:latest ssrfmap.py --help 📝 基础使用示例:网络扫描模块
SSRFmap提供多种预置模块,例如网络扫描模块可探测内部网络存活主机。执行以下命令启动网络扫描:
docker run -it --rm -v $(pwd)/data:/usr/src/app/data ssrfmap:latest ssrfmap.py -r data/request2.txt -p url -m networkscan 📂 文件读取模块实战
通过readfiles模块可利用SSRF漏洞读取目标系统文件,例如读取/etc/passwd:
docker run -it --rm -v $(pwd)/data:/usr/src/app/data ssrfmap:latest ssrfmap.py -r data/request.txt -p url -m readfiles 使用SSRFmap读取远程服务器/etc/passwd文件的结果
📋 常用模块路径参考
SSRFmap提供丰富的漏洞利用模块,主要存放在modules/目录下,包括:
⚙️ 容器持久化与数据共享
为保存测试结果和配置文件,建议使用数据卷挂载:
docker run -it --rm -v $(pwd)/data:/usr/src/app/data -v $(pwd)/results:/usr/src/app/results ssrfmap:latest ssrfmap.py [参数] 🛡️ 安全注意事项
- 仅在授权环境中使用SSRFmap进行渗透测试
- 容器运行时建议使用非root用户(Dockerfile已配置USER 1000)
- 定期更新镜像以获取最新安全补丁
通过Docker部署SSRFmap,不仅简化了环境配置流程,还能有效隔离测试环境与主机系统,是安全研究人员和渗透测试工程师的理想选择。现在就开始你的SSRF漏洞探索之旅吧!
