使用 FFUF 更快地搜索/模糊

"网站上的某些内容似乎隐藏起来——即没有他们的地址,我们就无法访问它。 通常,这些残留物仍然从应用程序开发阶段 – 开发人员本应稍后删除它们,但忘记了̄_(ツ)_/ ̄" – 这是DIRB的提法。 提到, 因为与我, 他让位给一个新的, 令人难以置信的快速工具 – Ffuf 。 操作原理是相同的 – 输入网址和字典,你可能会发现一些文件/目录不应该可用。 运气好的话,您也会检测到服务器的某种错误或异常行为。

一个很好的字典,我使用自己可以 在这里找到– 点击,和FFUFa可以从吉图巴创作者下载 – 点击

它需要安装的 Golang 编译器才能工作。 在Linux下,你可以安装它与命令- 容易得到安装戈朗 。 现在我们可以安装ffuf命令-去获取u github.com/ffuf/ffuf。

我最常使用这个工具与 fl开关,负责过滤掉包含一定数量的行的服务器响应。 这是为了摆脱虚假的实战性,换句话说,当给定文件/目录不存在时,通用服务器响应。 -w 开关指示字典的位置,并在测试页的地址上插入单词 FUZZ以处于适当的位置。 运行工具的现成示例命令如下所示:

。/ffuf -w/根/启动器.txt -u https://my127001.pl/FUZZ -fl 1

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

分享你对这篇文章的看法.