Die Situation sieht so aus: Die FFUF hat dutzende/mehrere hundert "versteckte" Ressourcen gefunden. Sie können Adressen manuell in Ihren Browser kopieren, um jede Adresse auf interessante Ergebnisse zu überprüfen oder den gesamten Prozess etwas zu automatisieren. Ich empfehle diesen zweiten Ansatz und habe ein fertiges Skript gesaugt, das ein Teil der Arbeit für uns erledigen wird.
- Der erste Schritt zur Schaffung eines nützlichen Einzeilers besteht darin, den "Verbose"-Modus in FFUFie zu verwenden. Es wird uns die Ergebnisse zusammen mit einem vollständigen Link zur Ressource zurückgeben:
./ffuf -w /Wörterbuch.txt -u https://juice-shop.herokuapp.com/FUZZ -v
2. Nacheinander verwenden wir den Befehl "grep", der nur die Zeilen extrahiert, die die URL enthalten:
./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| URL |'
3. Der nächste Schritt besteht darin, die bereits erhaltenen Ergebnisse der URL selbst mit dem Befehl "awk" zu extrahieren:
./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| |'| URL awk -F '|' '{ Druck Nr. 3 ''
4. Die ergebnisse, die Sie jetzt erhalten, müssen in die Datei weitergeleitet und mit "eyewitness" verwendet werden. Er wird jeden der gefundenen Ressourcen für uns besuchen und einen "Screenshot" speichern, wie er aussieht. Daher bleibt uns nur, die erhaltenen Bilder zu überprüfen, um interessante Informationen zu finden:
Der fertige Oneliner zeigt sich wie folgt:
./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| |'| URL awk -F '|' '{ print '3 }' >> urls.txt &&& eyewitness -f urls.txt -d screeny