Web Tool - WFuzz
Chombo cha kufanya FUZZ kwenye programu za wavuti popote.
Wfuzz imeundwa ili kurahisisha kazi katika tathmini za programu za wavuti na inategemea dhana rahisi: inabadilisha kumbukumbu yoyote ya neno la FUZZ na thamani ya mzigo uliopewa.
Usanidi
Imewekwa kwenye Kali
Github: https://github.com/xmendez/wfuzz
Chaguo za Kuchuja
The --filter
option in wfuzz
allows you to filter the output based on specific criteria. This can be useful when dealing with large amounts of data and you only want to focus on certain results.
Basic Filtering
To perform basic filtering, you can use the --filter
option followed by the filter criteria. For example, to only display responses with a status code of 200, you can use the following command:
Advanced Filtering
In addition to basic filtering, wfuzz
also supports advanced filtering using logical operators such as AND
, OR
, and NOT
. This allows you to create more complex filter conditions.
To use logical operators, you can enclose the filter criteria in parentheses and use the operators to combine them. For example, to display responses with a status code of 200 or 404, you can use the following command:
You can also use the NOT
operator to exclude certain results. For example, to display responses with a status code other than 200, you can use the following command:
Multiple Filters
You can apply multiple filters to further refine your results. Simply separate each filter criteria with a comma. For example, to display responses with a status code of 200 and a content length of 100, you can use the following command:
Regular Expressions
wfuzz
also supports regular expressions for more advanced filtering. You can use regular expressions to match specific patterns in the response data.
To use regular expressions, you can enclose the filter criteria in forward slashes (/
) and use the regular expression syntax. For example, to display responses with a URL that ends with .php
, you can use the following command:
Case Sensitivity
By default, wfuzz
performs case-insensitive filtering. However, you can use the --case-sensitive
option to enable case-sensitive filtering if needed.
Summary
Filtering options in wfuzz
allow you to narrow down your results and focus on specific criteria. Whether you need basic filtering or more advanced filtering using logical operators or regular expressions, wfuzz
provides the flexibility to customize your output.
Chaguo za Matokeo
-c, --csv
Hii chaguo inaruhusu kuhifadhi matokeo kwenye faili ya CSV. Unaweza kutaja jina la faili ya CSV kwa kutumia chaguo hiki.
-o, --output
Chaguo hili linaruhusu kuhifadhi matokeo kwenye faili ya maandishi. Unaweza kutaja jina la faili ya matokeo kwa kutumia chaguo hiki.
-d, --delimiters
Chaguo hili linaruhusu kubadilisha delimiters (vibadilishaji) vinavyotumiwa katika faili ya matokeo. Unaweza kutaja delimiters mbalimbali kwa kutumia chaguo hiki.
-f, --filters
Chaguo hili linaruhusu kutumia filters (vichujio) kwenye matokeo. Unaweza kutaja filters mbalimbali kwa kutumia chaguo hiki.
-s, --save
Chaguo hili linaruhusu kuhifadhi matokeo ya kila ombi kwenye faili tofauti. Unaweza kutaja jina la katalogi ya kuhifadhi matokeo kwa kutumia chaguo hiki.
Chaguzi za Wafungaji
Wafungaji ni zana muhimu katika uwanja wa udukuzi wa wavuti. Wanaweza kutumika kubadilisha au kuficha data ili kuepuka kugunduliwa na vifaa vya usalama au kuzuia kuvuja kwa habari nyeti. Hapa chini ni chaguzi kadhaa za wafungaji ambazo unaweza kutumia:
URL Encoding: Inabadilisha herufi na alama zisizo salama katika URL kuwa nambari za asilimia. Kwa mfano, nafasi inabadilishwa kuwa "%20".
HTML Encoding: Inabadilisha herufi na alama zisizo salama katika HTML kuwa nambari za kipekee. Kwa mfano, alama ya ishara ya nukta inabadilishwa kuwa ".".
Base64 Encoding: Inabadilisha data kuwa aina ya maandishi ya ASCII. Inaweza kutumika kuficha data nyeti kwa kuifanya isomeke kwa urahisi.
Hex Encoding: Inabadilisha data kuwa aina ya maandishi ya hexadecimal. Inaweza kutumika kuficha data au kubadilisha herufi za ASCII kuwa nambari za hexadecimal.
Unicode Encoding: Inabadilisha herufi na alama za ASCII kuwa nambari za Unicode. Inaweza kutumika kuficha data au kubadilisha herufi za ASCII kuwa nambari za Unicode.
Kwa kutumia chaguzi hizi za wafungaji, unaweza kuwa na uwezo wa kuficha data yako au kubadilisha muundo wake ili kuepuka kugunduliwa na vifaa vya usalama.
Ili kutumia kifanyaji, lazima ukitaje kwenye chaguo la "-w" au "-z".
Mifano:
CheetSheet
Kuingia kwa nguvu kwenye Fomu ya Kuingia
POST, Orodha moja, kichujio cha herufi (ficha)
POST, Orodha 2, Kanuni ya kuchuja (onyesha)
GET, orodha 2, chuja kamba (onyesha), wakala, vidakuzi
Kuvunja Nguvu Daktari/RESTful kuvunja nguvu
Arjun orodha ya maneno ya vigezo
Vigezo vya Njia BF
Wakati wa kufanya upimaji wa kuingilia kwenye wavuti, njia moja ya kugundua vigezo vya njia ni kwa kutumia zana inayoitwa WFuzz. WFuzz inaruhusu mtumiaji kufanya mashambulizi ya nguvu kwa kubadilisha vigezo vya njia na kuchunguza majibu ya wavuti.
Kwa kuanza, unahitaji kupata vigezo vya njia ambavyo vinaweza kubadilishwa. Unaweza kufanya hivyo kwa kuchunguza URL ya wavuti na kutambua sehemu ambazo zinaonekana kama vigezo. Kwa mfano, ikiwa una URL kama https://www.example.com/page?param1=value1¶m2=value2
, basi param1
na param2
ni vigezo vya njia.
Baada ya kupata vigezo vya njia, unaweza kutumia WFuzz kubadilisha vigezo hivyo na kufanya mashambulizi ya nguvu. WFuzz itabadilisha vigezo na kujaribu kila mmoja wao kwa kutumia seti ya maneno au nambari. Kwa kila jaribio, itachunguza majibu ya wavuti ili kuona ikiwa kuna dalili ya shambulio la mafanikio, kama vile ujumbe wa makosa au matokeo yasiyotarajiwa.
Kwa kutumia njia hii, unaweza kugundua vigezo vya njia ambavyo havijalindwa vizuri na kujaribu kufanya mashambulizi ya nguvu ili kupata habari au ufikiaji usiohalali kwenye wavuti. Ni muhimu kutumia zana kama WFuzz kwa uangalifu na kwa idhini ya mmiliki wa wavuti ili kuepuka kukiuka sheria na kufanya shughuli haramu.
Uthibitishaji wa Kichwa
Msingi, Orodha 2, kichujio cha herufi (onyesha), proksi
NTLM, orodha 2, kichujio cha herufi (onyesha), proksi
Kuvunja Nenosiri la Cookie/Header (vhost brute)
Cookie, nambari ya kichujio (onyesha), wakala
User-Agent, kificho cha kuchuja (ficha), proksi
Wakati mwingine, kwa sababu mbalimbali, unaweza kuhitaji kubadilisha User-Agent wako wakati wa kufanya majaribio ya kuingia kwenye wavuti. Hii inaweza kuwa muhimu kwa sababu fulani za usalama au kwa kujaribu kudanganya mfumo wa ulinzi wa wavuti. Kwa bahati nzuri, kuna zana nyingi ambazo zinaweza kukusaidia kufanya hivyo.
Moja ya zana hizo ni wfuzz
. Wfuzz
ni chombo cha kufanya majaribio ya kuingia kwenye wavuti ambacho kinaweza kutumika kwa njia nyingi tofauti. Moja ya matumizi yake ni kubadilisha User-Agent wakati wa kufanya majaribio.
Kwa mfano, unaweza kutumia wfuzz
kubadilisha User-Agent wako kuwa "Googlebot" ili kujaribu kufikia maudhui yaliyofichwa ambayo yanaweza kuwa yanapatikana tu kwa wabebaji wa injini za utafutaji kama Google.
Kwa kuongeza, wfuzz
inaruhusu kuficha kificho chako cha kuchuja wakati wa kufanya majaribio. Hii inaweza kuwa muhimu ikiwa unataka kuficha mbinu yako ya kuingia kwenye wavuti kutoka kwa wamiliki wa wavuti au watumiaji wengine.
Mbali na hayo, wfuzz
inasaidia pia matumizi ya proksi. Unaweza kuweka proksi ili kuficha anwani yako ya IP halisi na kufanya majaribio yako ya kuingia kuonekana kutoka kwa anwani nyingine ya IP. Hii inaweza kuwa muhimu kwa kudumisha faragha yako na kuepuka kufuatiliwa wakati wa kufanya majaribio ya kuingia kwenye wavuti.
Kwa kumalizia, wfuzz
ni chombo kizuri cha kufanya majaribio ya kuingia kwenye wavuti ambacho kinaweza kutumika kwa njia nyingi tofauti, ikiwa ni pamoja na kubadilisha User-Agent, kuficha kificho chako cha kuchuja, na kutumia proksi.
Mwenyeji
Kutumia faili
Wakati mwingine, unaweza kutaka kufanya jaribio la nguvu kwenye seva ya wavuti ili kugundua ni aina gani za njia za HTTP zinazokubalika. Unaweza kutumia faili ili kufanya hivyo.
Kwanza, unahitaji kuunda faili ambayo ina orodha ya njia za HTTP ambazo unataka kujaribu. Kila njia inapaswa kuwa kwenye mstari wake mwenyewe. Kwa mfano:
Baada ya kuunda faili, unaweza kutumia zana kama wfuzz
kufanya jaribio la nguvu kwa kutumia faili hii. Zana hii itajaribu kila njia kwenye orodha dhidi ya lengo lako na kukupa matokeo.
Kwa mfano, unaweza kutumia amri ifuatayo:
Katika amri hii, -c
inawezesha kufuatilia matokeo ya kila jaribio, -z file,wordlist.txt
inaelekeza wfuzz
kutumia faili wordlist.txt
kama orodha ya njia za HTTP, na http://example.com/FUZZ
inaweka lengo la jaribio la nguvu, ambapo FUZZ
itabadilishwa na kila njia kwenye orodha.
Kwa kufanya hivyo, unaweza kugundua njia za HTTP zinazokubalika kwenye seva ya wavuti na kuchunguza ikiwa kuna njia yoyote ambayo inaweza kusababisha shambulio au uvujaji wa habari.
Kutumia orodha ndani ya mstari
Kuvunja Nguvu ya Majedwali na Faili
Kuvunja nguvu ya majedwali na faili ni mbinu ya kawaida katika uchunguzi wa usalama wa wavuti. Inahusisha kutumia zana kama vile wfuzz
kutafuta na kuvunja nguvu majedwali na faili zilizofichwa au zilizopatikana kwenye wavuti.
Kuvunja Nguvu ya Majedwali
Kuvunja nguvu ya majedwali ni mchakato wa kujaribu kila aina ya maneno ya siri au nywila ili kupata ufikiaji usio halali kwenye mfumo au akaunti. Zana kama wfuzz
inaweza kutumika kufanya kazi hii kwa kujaribu maneno ya siri tofauti na kuchunguza majibu ya wavuti ili kugundua ikiwa maneno ya siri yaliyotumiwa ni sahihi au la.
Kuvunja Nguvu ya Faili
Kuvunja nguvu ya faili ni mchakato wa kutafuta na kuvunja nguvu ya faili zilizofichwa au zilizopatikana kwenye wavuti. Zana kama wfuzz
inaweza kutumika kufanya kazi hii kwa kujaribu majina tofauti ya faili na kuchunguza majibu ya wavuti ili kugundua ikiwa faili zilizotafutwa zinapatikana au la.
Kwa kutumia zana kama wfuzz
, unaweza kufanya uchunguzi wa kina wa wavuti ili kutambua majedwali na faili zilizofichwa au zilizopatikana ambazo zinaweza kusababisha hatari za usalama. Hii inaweza kusaidia katika kugundua udhaifu na kuchukua hatua za kurekebisha ili kuzuia ukiukaji wa usalama.
Zana ya kudukua Tovuti
Last updated