URL哨兵 (URL-SB)

📖 工具简介

URL哨兵是一款专业的Burp Suite插件，用于自动化检测和测试SSRF（服务器端请求伪造）漏洞。它能够自动识别HTTP请求中的URL参数，并将其替换为自定义的测试payload，配合DNSLog等平台快速发现潜在的SSRF漏洞点，支持GET、POST、JSON、multipart/form-data等多种格式，支持识别编码后的URL，支持智能过滤黑名单，回显编号，快速定位触发包，让SSRF无所遁形！

作者: 0xShe

🎯 核心功能

• ✅ 自动检测HTTP请求中的URL参数（支持GET、POST、JSON、multipart/form-data）
• ✅ 自动替换URL为测试payload
• ✅ 支持URL编码和非编码格式
• ✅ 智能黑名单过滤（避免干扰正常业务）
• ✅ 可视化管理界面
• ✅ 请求历史记录和详情查看
• ✅ 一键发送到Burp Repeater

🚀 使用方法

1. 安装插件

1. 在Burp Suite中，进入 Extender → Extensions
2. 点击 Add 按钮
3. 选择编译好的 URLSentinel-1.0-SNAPSHOT.jar 文件
4. 插件加载成功后，会在Burp Suite中出现 "URL哨兵" 标签页

2. 配置DNSLog Payload

1. 访问DNSLog平台（如 http://dnslog.cn 或其他平台）
2. 获取你的专属子域名（例如：abc123.dnslog.cn）
3. 在插件的 "输入Dnslog地址" 输入框中输入你的子域名（只需要域名部分）
4. 点击 "保存Payload" 按钮

示例：

输入: abc123.dnslog.cn

3. 启用插件

点击 "启用插件" 按钮，按钮文字会变为 "关闭插件"，表示插件已启动。

4. 开始检测

插件启用后会自动监听以下来源的HTTP流量：

• Proxy（代理）
• Target（目标）
• Spider（爬虫）

当检测到请求参数中包含URL时，插件会：

1. 自动将URL替换为 http://[序号].[你的DNSLog域名]
2. 自动发送修改后的请求
3. 在插件界面的表格中记录该请求

支持的请求格式

5. 查看结果

在插件界面查看

• 表格区域：显示所有检测到并发送的请求（Host、方法、是否发送Payload、编号）
• 请求详情区域：点击表格中的任意行，查看完整的HTTP请求内容
• 右键菜单：在表格行上右键，可以将请求发送到Burp Repeater进行重放

在DNSLog平台验证

1. 返回DNSLog平台
2. 点击 "Get Records" 或刷新按钮
3. 如果出现DNS解析记录（如 编号.abc123.dnslog.cn），说明存在SSRF漏洞

6. 测试示例

假设你的DNSLog域名是 test.dnslog.cn，插件会进行如下转换：

示例1：GET请求（普通URL）

原始请求：

GET /api/fetch?url=http://example.com&redirect=https://test.com HTTP/1.1
Host: target.com

修改后的请求：

GET /api/fetch?url=http://1.test.dnslog.cn&redirect=http://2.test.dnslog.cn HTTP/1.1
Host: target.com

示例2：GET请求（URL编码格式）

原始请求：

GET /api/proxy?target=http%3A%2F%2Fexample.com%2Fapi HTTP/1.1
Host: target.com

修改后的请求：

GET /api/proxy?target=http://3.test.dnslog.cn HTTP/1.1
Host: target.com

💡 插件支持检测 http%3A%2F%2F 这样的URL编码格式

示例3：POST请求（JSON格式）

原始请求：

POST /api/upload HTTP/1.1
Host: target.com
Content-Type: application/json

{
  "image_url": "http://cdn.example.com/pic.jpg",
  "callback_url": "https://webhook.example.com/notify",
  "thumbnail": "http://img.example.com/thumb.png"
}

修改后的请求：

{
  "image_url": "http://4.test.dnslog.cn",
  "callback_url": "http://5.test.dnslog.cn",
  "thumbnail": "http://6.test.dnslog.cn"
}

示例4：POST请求（multipart/form-data格式）

原始请求：

POST /api/upload HTTP/1.1
Host: target.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW

------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="avatar_url"

http://cdn.example.com/avatar.png
------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="callback"

https://webhook.example.com/callback
------WebKitFormBoundary7MA4YWxkTrZu0gW--

修改后的请求：

------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="avatar_url"

http://7.test.dnslog.cn
------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="callback"

http://8.test.dnslog.cn
------WebKitFormBoundary7MA4YWxkTrZu0gW--

示例5：POST请求（application/x-www-form-urlencoded + URL编码）

原始请求：

POST /api/fetch HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

url=http%3A%2F%2Fexample.com&redirect=https%3A%2F%2Ftest.com%2Fpath

修改后的请求：

url=http://9.test.dnslog.cn&redirect=http://10.test.dnslog.cn

🛡️ 黑名单功能

功能介绍

黑名单功能可以过滤掉不需要测试的域名，避免对某些特定服务（如地图API、云服务等）产生干扰。

默认黑名单

插件内置了以下默认黑名单规则：

amap.com
aliyun.com
*.aliyun.com
aliyun.*
*.alicdn.com
ali

黑名单规则说明

1. 通配符匹配

2. 关键词匹配

3. 精确匹配

编辑黑名单

1. 在插件界面中找到 "URL黑名单" 编辑区域
2. 每行输入一个规则（支持通配符和关键词）
3. 以 # 开头的行会被视为注释
4. 点击 "保存黑名单" 按钮保存配置

示例配置：

# 阿里系列
ali
aliyun.com
*.aliyun.com
aliyun.*
*.alicdn.com

# 腾讯系列
tencent.com
*.qq.com
qq.*

# 地图服务
amap.com
*.baidu.com

# 测试域名
*.test.com
localhost
127.0.0.1

黑名单存储

• 黑名单配置会保存到插件加载目录下的 url_blacklist.txt 文件
• 下次加载插件时会自动读取该文件
• 如果文件不存在，会使用默认黑名单

⚠️ 注意事项

1. 仅用于授权测试：请确保你有权限对目标系统进行安全测试
2. 避免干扰业务：合理配置黑名单，避免对正常业务产生影响
3. 控制测试频率：大量请求可能触发WAF或限流机制
4. 及时关闭插件：测试完成后记得关闭插件，避免误测试
5. 保护DNSLog域名：不要在公共场合泄露你的DNSLog域名

📞 工具下载：

📄 免责声明

本工具仅供安全研究和授权测试使用。使用者应当遵守相关法律法规，不得用于未经授权的渗透测试或任何非法用途。由使用本工具产生的一切后果由使用者自行承担，作者不承担任何责任。

URL-SB 让SSRF无所遁形