FFUF e EyeWitness : accelerare il processo di ricerca

La situazione è la seguente: l'FFUF ha trovato diverse decine/diverse centinaia di risorse "nascoste". Puoi copiare manualmente gli indirizzi sul tuo browser per verificare la presenza di risultati interessanti o automatizzare un po 'l'intero processo. Consiglio questo secondo approccio e aggiungerò uno script già pronto, quale parte del lavoro farà per noi.

  1. Il primo passo per creare un utile single liner è utilizzare la modalità "verbose" in FFUFie. Ci restituirà i risultati insieme a un link completo alla risorsa:
./ffuf -w /dictionary.txt -u https://juice-shop.herokuapp.com/FUZZ -v
ffuf modalità dettagliata

2. A sua volta, useremo il comando "grep", che estraerà solo le righe che contengono l'URL:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| URL |'
ffuf grep

3. Il passaggio successivo consiste nell'estrarre l'URL stesso dai risultati ricevuti utilizzando il comando "awk":

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| | URL | awk -F '|' '{ stampa $3 }'
ffuf awk

4. Ora i risultati ottenuti dovrebbero essere reindirizzati al file e utilizzare il programma "testimone oculare". Visiterà per noi ciascuna delle risorse trovate e salverà uno "screenshot" di come appare. Pertanto, saremo lasciati solo a rivedere le immagini ricevute al fine di trovare informazioni interessanti:

testimone oculare
ffuf grep awk testimone oculare

Il oneliner finito è il seguente:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| | URL | awk -F '|' '{ stampa $3 }' >> URL.txt & eyewitness -f url.txt -d screenshot

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Aggiungi ai preferiti : permalink.

Podziel się swoją opinią na temat artykułu