前言

上一篇介紹了gobuster、dirb以及dirsearch，本篇將介紹wfuzz以及feroxbuster。

正文

• wfuzz
  wfuzz提供針對不同的參數做列舉、搜尋，有以下幾種：
  - 路徑與檔案
  - 網址裡的參數
  - post請求
  - HTTP方法()
  - cookie
  以HTB靶機Shoppy為例，暴力尋找子網域(subdomain)

  wfuzz -u http://10.10.11.180 -H "Host: WFUZZ.shoppy.htb  -w /home/sarah/seclists/Discovery/DNS/subdomains-top1million-5000.txt"
  

  -u指定搜尋的網址
  -H設定請求的header，我們目的是搜尋subdomain，輸入Host:...
-w設定搜尋的wordlist
  在參數裡設置為WFUZZ的部分就是利用wordlist搜尋是否存在，可以利用seclist裡的subdomain wordlist。
  
  從結果可以看到，shoppy.htb包含mattermost這個子網域。

  ---

  另一個以靶機RedPanda為例，目標是測試post請求，尋找在url裡name這個參數所禁用的字元。

  wfuzz -u http://10.10.11.170:8080/search -d name=FUZZ -w /usr/share/seclists/Fuzzing/alphanum-case-extra.txt --ss banned
  

  -d設置post請求所傳送的資料
  --ss設置regular expression，只秀出回應包含banned這個字的結果

  
  我們可以看到這個網頁禁止輸入$、~、_，這三個特殊字元。

• feroxbuster
  feroxbuster是一種強制瀏覽(forced browsing)的工具，什麼是強制瀏覽，以下依官方網站所提供的範例說明。
  現在有個urlwww.site-example.com/users/calendar.php/user1/20070715能夠取得user1 2007/07/15的資料，假如現在我們想獲得user6 2007/7/16的資料，我們只需要將url修改成www.site-example.com/users/calendar.php/user6/20070716，就成功了。這個攻擊方法也稱為可預測資源位置(predictable resource location)、檔案枚舉(File Enumeration)等。

  我將以HTB Validation這個靶機做示範

  feroxbuster -u http://10.10.11.116
  

  
  它找到了/css/bootstrap.min.css這個檔案以及兩個可能存在的目錄，/css以及/js。feroxbuster也能夠設置proxy、header、wordlist等等，有興趣的可以參考官方網站。

我的介紹到此結束，謝謝大家:)

reference

• wfuzz操作手冊
• feroxbuster操作手冊