iT邦幫忙

2023 iThome 鐵人賽

DAY 5
0

前言

上一篇介紹了gobuster、dirb以及dirsearch,本篇將介紹wfuzz以及feroxbuster。

正文

  • wfuzz
    wfuzz提供針對不同的參數做列舉、搜尋,有以下幾種:
    - 路徑與檔案
    - 網址裡的參數
    - post請求
    - HTTP方法()
    - cookie
    以HTB靶機Shoppy為例,暴力尋找子網域(subdomain)

    wfuzz -u http://10.10.11.180 -H "Host: WFUZZ.shoppy.htb  -w /home/sarah/seclists/Discovery/DNS/subdomains-top1million-5000.txt"
    

    -u指定搜尋的網址
    -H設定請求的header,我們目的是搜尋subdomain,輸入Host:...
    -w設定搜尋的wordlist
    在參數裡設置為WFUZZ的部分就是利用wordlist搜尋是否存在,可以利用seclist裡的subdomain wordlist。

    從結果可以看到,shoppy.htb包含mattermost這個子網域。


    另一個以靶機RedPanda為例,目標是測試post請求,尋找在url裡name這個參數所禁用的字元。

    wfuzz -u http://10.10.11.170:8080/search -d name=FUZZ -w /usr/share/seclists/Fuzzing/alphanum-case-extra.txt --ss banned
    

    -d設置post請求所傳送的資料
    --ss設置regular expression,只秀出回應包含banned這個字的結果


    我們可以看到這個網頁禁止輸入$、~、_,這三個特殊字元。

  • feroxbuster
    feroxbuster是一種強制瀏覽(forced browsing)的工具,什麼是強制瀏覽,以下依官方網站所提供的範例說明。
    現在有個urlwww.site-example.com/users/calendar.php/user1/20070715能夠取得user1 2007/07/15的資料,假如現在我們想獲得user6 2007/7/16的資料,我們只需要將url修改成www.site-example.com/users/calendar.php/user6/20070716,就成功了。這個攻擊方法也稱為可預測資源位置(predictable resource location)、檔案枚舉(File Enumeration)等。

    我將以HTB Validation這個靶機做示範

    feroxbuster -u http://10.10.11.116
    


    它找到了/css/bootstrap.min.css這個檔案以及兩個可能存在的目錄,/css以及/js。feroxbuster也能夠設置proxy、header、wordlist等等,有興趣的可以參考官方網站

我的介紹到此結束,謝謝大家:)
/images/emoticon/emoticon41.gif

reference


上一篇
[Day 4] 目錄枚舉(一) (Directory enumeration part 1)
下一篇
[Day 6] 密碼爆破工具-John the ripper (Password cracking tool-John the ripper)
系列文
入門級資安實戰:以Hack The Box為輔學習網路漏洞掃描與利用25
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言