FFUF и EyeWitness — ускорение процесса поиска

Ситуация такова — ФФУФ обнаружил несколько десятков/несколько сотен «скрытых» ресурсов. Вы можете вручную скопировать адреса в свой браузер, чтобы проверить каждый из них на наличие интересных результатов или немного автоматизировать весь процесс. Я рекомендую этот второй подход и добавлю готовый сценарий, часть работы который мы сделаем.

  1. Первым шагом к созданию полезного одиночного вкладыша является использование «многословного» режима в FFUFie. Он вернет нам результаты вместе с полной ссылкой на ресурс:
./ffuf -w /словарь.txt -u https://juice-shop.herokuapp.com/FUZZ -v
ffuf многословный режим

2. В свою очередь, мы будем использовать команду "grep", которая будет извлекать только те строки, которые содержат url:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| URL-|'
ffuf grep

3. Следующим шагом является извлечение самого URL-адреса из результатов, которые вы получили с помощью команды «awk»:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| | URL-адреса | awk -F '|' '{ печать $3 }'
ffuf awk

4. Теперь полученные результаты следует перенаправить в файл и использовать программу «очевидец». Он посетит для нас каждый из найденных ресурсов и сохранит «скриншот» того, как он выглядит. Таким образом, нам останется только просмотреть полученные изображения, чтобы найти интересную информацию:

очевидец
ffuf grep awk очевидец

Готовый однострочник выглядит следующим образом:

./ffuf -w /usr/share/wordlists/dirb/small.txt -u https://juice-shop.herokuapp.com/FUZZ -v -fl 34|grep '| | URL-адреса | awk -F '|' '{ print $3 }' >> URL.txt && очевидец -f urls.txt -d скриншоты

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Закладка Постоянная ссылка.

Podziel się swoją opinią na temat artykułu