FFUF et EyeWitness – accélérer le processus de recherche

La situation est la suivante : la FFUF a trouvé des dizaines/plusieurs centaines de ressources « cachées ». Vous pouvez copier manuellement les adresses dans votre navigateur pour vérifier chacune d’entre elles à la recherche de résultats intéressants ou automatiser un peu l’ensemble du processus. Je recommande cette deuxième approche et j’ai fourni un script prêt qui fera une partie du travail pour nous.

  1. La première étape pour créer un paquebot unique utile consiste à utiliser le mode « verbose » dans FFUFie. Il nous renvoie les résultats avec un lien complet vers la ressource:
./ffuf -w /dictionnaire.txt -u https://juice-shop.herokuapp.com/FUZZ -v
ffuf mode verbose

2. Ensuite, nous utiliserons la commande « grep », qui n’extrait que les lignes qui contiennent l’url:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| URL |'
ffuf grep

3. L’étape suivante consiste à extraire des résultats déjà reçus l’url elle-même à l’aide de la commande « awk »:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| URL |'| awk -F '|' ' '
ffuf awk

4. Les résultats obtenus doivent maintenant être redirigés vers le fichier et utilisés par eyewitness. Il visitera chacune des ressources trouvées pour nous et enregistrera une « capture d’écran » de son apparence. Il ne nous reste donc plus qu’à consulter les images reçues pour trouver des informations intéressantes:

témoin oculaire
ffuf grep awk eyewitness

Le oneliner fini se présente comme suit:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| URL |'| awk -F '|' ' ' ' urls >>.txt 'eyewitness -f urls.txt -d screeny

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Pour marque-pages : Permaliens.

Podziel się swoją opinią na temat artykułu