Установка и примеры использования FFuF на Kali Linux

Установка и примеры использования FFuF Kali Linux

Пер­вое дей­ствие при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов. Для это­й цели можно использовать прог­раммы вро­де dirsearch и DirBuster. Но сегодня, я познакомлю вас с еще одной, не менее популярной тузлой — ffuf.

Еще по теме: Взлом веб-сервера на PHP

Установка и примеры использования FFuF на Kali Linux

ffuf — (аббревиатура от «Fuzz Fast You Fool!») — это инструмент веб-фаззинга с открытым исходным кодом, разработанный на языке Golang. Тулза используется для поиска и выявления скрытых ресурсов сайта.

Что такое фаззинг? Это процесс отправки нестандартного потока данных для получения ошибок или неожиданного вывода. Иногда вывод фаззинг предоставляет хакеру золотую жилу в виде скрытой страницы авторизации, ошибок внедрения и т. д.

Далее покажу установку FFuF на Kali Linux и 30 примеров использования.

Установка FFuF на Kali Linux

В начале необходимо установить Golang на Kali Linux.

Теперь установим ffuf с помощью короткой команды:

Или можно самостоятельно клонировать и собрать:

Не забудьте добавить каталог go/bin в переменную PATH, чтобы запускать инструмент из любого каталога.

Чтобы проверить правильность установки и версию инструмента, выполните:

Или так:

Установка FFuF Kali Linux

Примеры использования FFuF Kali Linux

Использование FFuF Kali Linux

Вот так команда выглядит при сканировании уязвимой машины Тiming с площадки Hack The Box:

  • -w — сло­варь (лично я предпочитаю сло­вари из SecLists)
  • -u — URL
  • -t — количес­тво потоков

Далее, в качестве примера будет использоваться адрес https://test-url.

Примеры использования FFuF на Kali Linux

Основная команда, используемая для перебора каталогов сайта:

Фаззинг параметров:

Фаззинг заголовков:

Фаззинг URL методом POST:

Фаззинг списка виртуальных хостов:

Поиск поддоменов без DNS-записей:

Фильтрация по коду состояния:

Фильтрации по количеству слов:

Фильтрация по количеству строк:

Фильтрация по размеру ответа:

Фильтрация по количеству слов:

Изменение скорости отправки пакетов:

Запуск сканирования в течение определенного времени или меньше определенного времени (в секундах):

Фаззинг подстроки:

Максимальное время (в секундах) на задание:

Обнаружение файлов с определенными расширениями:

Отправка запроса POST с нечеткими данными:

Фаззинг определенных форматов:

Рекурсия для повторного выполнения той же задачи:

Увеличение задержки (в секундах) с помощью -p:

Ускорения или замедление сканирования с помощью -t (по умолчанию 40):

Сохранить вывод с помощью -o и для формата -of

Запуск сканирования в тихом режиме:

Заключение

ffuf — один из лучших и быстрых инструментов веб-фаззинга. Надеюсь, статья была полезна и поможет в багхантинге.

РЕКОМЕНДУЕМ:

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *