上一篇介紹了gobuster、dirb以及dirsearch,本篇將介紹wfuzz以及feroxbuster。
wfuzz
wfuzz提供針對不同的參數做列舉、搜尋,有以下幾種:
- 路徑與檔案
- 網址裡的參數
- post請求
- HTTP方法()
- cookie
以HTB靶機Shoppy為例,暴力尋找子網域(subdomain)
wfuzz -u http://10.10.11.180 -H "Host: WFUZZ.shoppy.htb -w /home/sarah/seclists/Discovery/DNS/subdomains-top1million-5000.txt"
-u
指定搜尋的網址-H
設定請求的header,我們目的是搜尋subdomain,輸入Host:...
-w
設定搜尋的wordlist
在參數裡設置為WFUZZ的部分就是利用wordlist搜尋是否存在,可以利用seclist裡的subdomain wordlist。
從結果可以看到,shoppy.htb包含mattermost這個子網域。
另一個以靶機RedPanda為例,目標是測試post請求,尋找在url裡name這個參數所禁用的字元。
wfuzz -u http://10.10.11.170:8080/search -d name=FUZZ -w /usr/share/seclists/Fuzzing/alphanum-case-extra.txt --ss banned
-d
設置post請求所傳送的資料--ss
設置regular expression,只秀出回應包含banned這個字的結果
我們可以看到這個網頁禁止輸入$、~、_,這三個特殊字元。
feroxbuster
feroxbuster是一種強制瀏覽(forced browsing)的工具,什麼是強制瀏覽,以下依官方網站所提供的範例說明。
現在有個urlwww.site-example.com/users/calendar.php/user1/20070715
能夠取得user1 2007/07/15的資料,假如現在我們想獲得user6 2007/7/16的資料,我們只需要將url修改成www.site-example.com/users/calendar.php/user6/20070716
,就成功了。這個攻擊方法也稱為可預測資源位置(predictable resource location)、檔案枚舉(File Enumeration)等。
我將以HTB Validation這個靶機做示範
feroxbuster -u http://10.10.11.116
它找到了/css/bootstrap.min.css這個檔案以及兩個可能存在的目錄,/css以及/js。feroxbuster也能夠設置proxy、header、wordlist等等,有興趣的可以參考官方網站。
我的介紹到此結束,謝謝大家:)