wfuzz 的安装|用法介绍 渗透测试工具之fuzz

wfuzz 渗透测试工具 漏洞评估

wfuzz工具下载地址:fuzz

wfuzz 是一款Python开发的Web安全模糊测试工具。

简单粗暴的功能特点记录:

  1. 模块化框架可编写插件
  2. 接口可处理BurpSuite所抓的请求和响应报文

简而言之就是wfuzz可以用在做请求参数参数类的模糊测试,也可以用来做Web目录扫描等操作。

它是一个为渗透测试人员打造的渗透测试工具

用法介绍:

  • 安装wfuzz

    基础用法

如上命令使用-w参数指定字典位置,然后跟上一个要测试的地址,所列的例子https://gh0st.cn/FUZZ中有一个FUZZ单词,这个单词可以理解是一个占位符,这样就大概了解了wfuzz的基本运行原理,它会读取字典然后传入占位符进行模糊测试请求。

 

实战完整使用演示:

返回结果如下:

通过返回结果我们可以知道很多信息,最需要关注的就是ID、Response、 Lines、Word、Chars、Payload这一行,从左往右看,依次是编号、响应状态码、响应报文行数、响应报文字数、响应报文正字符数、测试使用的Payload。

 

了解Wfuzz

通过-h或者–help可以来获取帮助信息。

 

Wfuzz模块

如上所述说到wfuzz是模块化的框架,wfuzz默认自带很多模块,模块分为5种类型分别是:payloads、encoders、iterators、printers和scripts。

 

通过-e参数可以查看指定模块类型中的模块列表:

payloads类的模块列表如下:

Wfuzz使用

从上文知道了wfuzz基于一个非常简单的概念:使用payload来替换相应的FUZZ关键词的位置,FUZZ这样的关键词就是占位符,payload就是输入源。

通过wfuzz -e payloads可以获取payloads类的所有模块列表,使用wfuzz -z help可以获取关于payloads类模块的详细信息,也可以通过–slice参数来过滤返回信息的结果。

使用(字典)

注:命令中的wordlist表示为字典位置

这里有必要说明下,使用命令意义是一样的,都是使用payloads模块类中的file模块,通过wfuzz -z help –slice “file”看如何使用file模块:

通过返回的帮助信息,我们知道这个模块需要一个参数fn,这个参数值为字典文件名(绝对路径)。这样子第一条命令一下子就明白了,wfuzz -z file –zP fn=wordlist URL/FUZZ中的-z file使用模块,–zP fn=wordlist是定义fn参数的值(可以这样理解,–zP 这里的P大写代表 Parameters ,然后其他的都是固有个事)

第二条命令简写了第一条命令的赋值,第三条命令使用-w,这个参数就是-z file –zP fn的别名。

 

多个字典

使用-z 或-w 参数可以同时指定多个字典,这时相应的占位符应设置为 FUZZ,FUZ2Z,FUZ3Z,….,FUZnZ, 其中n代表了占位序号。

例如想要同时爆破目录、文件名、后缀,可以这样来玩:

wfuzz -w 目录字典路径 -w 文件名字典路径 -w 后缀名字典路径 URL/FUZZ/FUZ2Z.FUZ3Z

 

过滤器

wfuzz具有过滤器功能,在做测试的过程中会因为环境的问题需要进行过滤,例如在做目录扫描的时候,你事先探测并知道了这个网站访问不存在目录的时候使用的是自定义404页面(也就是状态码为200),而你可以选择提取该自定义页面的特征来过滤这些返回结果。

wfuzz过滤分为两种方法:隐藏符合过滤条件的结果 和 显示符合过滤条件的结果

 

隐藏响应结果

通过–hc,–hl,–hw,–hh参数可以隐藏某些HTTP响应。

  • –hc 根据响应报文状态码进行隐藏(hide code)

隐藏404:

 

隐藏404、403:

e.g. 使用百度举个例子,运行wfuzz -w test_dict.txt https://www.baidu.com/FUZZ结果如下

 

wfuzz

 

这里所有的测试请求,都是不存在的页面,那么百度的404页面规则就是如上图结果所示:响应报文状态码(302)、响应报文行数(7)、响应报文字数(18)、响应报文字符数(222),那么下面的就是填空题了~

 

  • –hl根据响应报文行数进行隐藏(hide lines)

  • –hw根据响应报文字数进行隐藏(hide word)

  • –hh根据响应报文字符数进行隐藏(hide chars 这里因为code和chars首字母都是c,–hc参数已经有了,所以hide chars的参数就变成了–hh)

  •  

如果根据单个条件判断相对来说肯定是不精确的,所以整合一下就是这样的命令:

这样就可以对https://www.baidu.com/进行目录扫描咯~

 

显示响应结果

显示响应结果的使用方法跟隐藏时的原理一样,只不过参数变为了:–sc(show code),–sl(show lines),–sw(show word),–sh (show chars)。

 

使用Baseline(基准线)

过滤器可以是某个HTTP响应的引用,这样的引用我们称为Baseline。

之前的使用–hh进行过滤的例子中,还可以使用下面的命令代替:

wfuzz

这条命令的意思应该很容易理解,首先要清楚基准线是什么?换个名字:标准线 or 及格线。

 

首先解释下https://www.baidu.com/FUZZ{404there}的意思,这里代表wfuzz第一个请求是请求https://www.baidu.com/404there这个网址,在{ }内的值用来指定wfuzz第一个请求中的FUZZ占位符,而这第一个请求被标记为BBB(BBB不能换成别的)基准线;其次这里使用的参数是–hh,也就是以BBB这条请求中的Chars为基准,其他请求的Chars值与BBB相同则隐藏。

 

使用正则表达式过滤

wfuzz参数–ss和–hs可以使用正则表达式来对返回的结果过滤。

e.g. 在这里一个网站自定义返回页面的内容中包含Not Found,想根据这个内容进行过滤可以使用如下的命令:

wfuzz

 

得出结论使用方法:

手册

原文来自:DigApis安全 m0nst3r

 

模块种类

payload

payload为wfuzz生成的用于测试的特定字符串,一般情况下,会替代被测试URL中的FUZZ占位符。 当前版本中的wfuzz中可用payloads列表如下:

encoder

encoder的作用是将payload进行编码或加密。 wfuzz的encoder列表如下:

iterator

wfuzz的iterator提供了针对多个payload的处理方式。 itorators的列表如下:

scripts

scripts列表如下:

内置工具

wfencode 工具

这是wfuzz自带的一个加密/解密(编码/反编码)工具,目前支持内建的encoders的加/解密。

wfpayload工具

wfpayload是payload生成工具

wxfuzz 工具

这个看源码是一个wxPython化的wfuzz,也就是GUI图形界面的wfuzz。目前需要wxPython最新版本才能使用,但是在ParrotOS和Kali上都无法正常安装成功,问题已在GitHub提交Issue,期待开发者的回复中…

 

wfuzz命令中文帮助

from