情况如下:FFUF已经发现了几十/几百个"隐藏"资源。 您可以手动将地址复制到浏览器,以检查每个地址是否有有趣的结果,或自动处理整个过程。 我推荐第二种方法,我将添加一个现成的脚本,其中一部分的工作将为我们做。
- 创建有用的单个班轮的第一步是在 FFUFie 中使用"冗长"模式。 它将将结果返回给我们,同时返回资源的完整链接:
。/福夫-w/字典.txt-u https://juice-shop.herokuapp.com/FUZZ-v
2。 反过来,我们将使用命令"grep",该命令将只提取包含 URL 的行:
。/ffuf - w /usr/共享/单词列表/dirb/小.txt - u https://juice-shop.herokuapp.com/FUZZ - v -fl 34|格雷普"|网址|"
(三) 有什么问题吗? 下一步是使用"awk"命令从您收到的结果中提取网址本身:
。/ffuf - w /usr/共享/单词列表/dirb/小.txt - u https://juice-shop.herokuapp.com/FUZZ - v -fl 34|格雷普"||网址|awk-F"|""{打印$3}"
4。 现在获得的结果应重定向到文件并使用程序"目击证人"。 他将为我们访问每个找到的资源,并保存他看起来像什么的"截图"。 因此,我们只能查看收到的图像,以便找到有趣的信息:
完成的单线如下:
。/ffuf - w /usr/共享/单词列表/dirb/小.txt - u https://juice-shop.herokuapp.com/FUZZ - v -fl 34|格雷普"||网址|awk-F"|""{打印$3}">>网址.txt和目击者-f网址.txt-d截图