【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

视频讲解

本期视频将详细介绍模糊测试神器FFUF，我们可以通过FFUF测试API端点，也可以进行目录扫描，同时支持递归扫描；这里比较细节的是，FFUF还支持匹配、过滤两大功能，可以针对响应值、返回的行数、返回的单词数进行匹配或者过滤；除此之外，它还具备了漏洞赏金的必备功能，可以自定义并发数、延迟等；

备用播放线路

图文教程

安装教程

如果您使用的Kali Linux，则自带了ffuf工具

Kali linux最新版安装方法以及常见问题解答

2年前

27645844

当然，您的系统如果没有ffuf也没关系，可以在Github上下载并编译

git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build

当然还有更为简单的，可以直接使用go install安装

go install github.com/ffuf/ffuf@latest

使用教程

下面的使用教程与原视频无关，我们在下方分享下自己使用FFUF的经验，可能部分偏实战

在此之前，我们先明确FFUF里有两大功能，一个是m开头的，一个是f开头的

m代表的是matchers，即匹配的意思

-mc 返回值，匹配指定返回值
-ml 返回行数，匹配指定返回行数
-mr 正则表达式，匹配指定的正则表达式
-ms 返回大小，匹配指定的返回内容大小
-mw 返回单词数，匹配指定的返回单词数量

图片[1]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

f代表是filters，即过滤的意思

-fc 返回值，过滤掉指定返回值
-fl 返回行数，过滤掉指定返回行数
-fr 正则表达式，过滤掉指定的正则表达式
-fs 返回大小，过滤掉指定的返回内容大小
-fw 返回单词数，过滤掉指定的返回单词数量

图片[2]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

扫描二级域名

譬如我们想扫描baidu.com的子域名，可以使用FUZZ.baidu.com

FUZZ将会被替换为字典里的内容

字典subdomains-top1million-110000.txt

ffuf -u http://FUZZ.baidu.com -w subdomains-top1million-110000.txt

图片[3]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

我们可以通过返回值进行进一步的细化，比方说我们结果只接受返回值是200、301、302的

ffuf -u http://FUZZ.baidu.com -w subdomains-top1million-110000.txt -mc 200,301,302

当然如果你嫌太慢了，也可以使用-t设置线程

图片[4]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

当然，你也可以使用其他的方式，比如资产测绘工具uncover被动收集

https://github.com/projectdiscovery/uncover

多站点目录探测

在你得到了要扫描的目标站点，可以存入domains.txt中

譬如domains.txt

api.iculture.cc
www.iculture.cc
sign.iculture.cc

wordlist.txt用于存放目录名称

我们可以使用FFUF工具同时对多个站点进行模糊测试

ffuf -u https://Site/Path -w wordlist.txt:Site,domains.txt:Path

其实我们发现FFUF在进行模糊测试时，不一定非用FUZZ关键词，你也可以使用设置变量，譬如上面的命令就是

wordlist.txt:Site
domains:Path

这样在调用关键词时，就直接https://Site/Path即可

目录探测

我们使用-recursion进行递归，-recursion-depth为递归的深度

ffuf -u http://192.168.10.215/pikachu/FUZZ -w directory-list-2.3-big.txt -ic -recursion -recursion-depth 3

这里相当于对http://192.168.10.215/pikachu/FUZZ先进行模糊测试

然后发现存在http://192.168.10.215/pikachu/wiki目录，它会对其在进行模糊测试

http://192.168.10.215/pikachu/wiki/FUZZ

之后会发现http://192.168.10.215/pikachu/wiki/image，然后在对其进行模糊测试

这就是整个递归模糊测试的思路，然后根据上面设置的-recursion-depth决定递归几次

这里还有个细节就是-ic可以自动忽略注释部分(ignore comment)，不然这个#后面的内容也会被添加到FUZZ里

图片[5]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

敏感文件探测

譬如我们想找某个ip、域名下是否有之前存储的备份文件之类的

ffuf -u http://192.168.10.215/FUZZ -w filename.txt -e .bak

filename.txt是我们的字典，如果我们字典中有纯文件名称，譬如fancypig，但是我们也想在扫描的时候给其加入后缀，则可以使用-e .bak，这样跑字典时，就会自动带入fancypig.bak了

ffuf -u http://192.168.10.215/FUZZ -w filename.txt -e .bak

如果你想添加多个后缀，就用,隔开即可

ffuf -u http://192.168.10.215/FUZZ -w filename.txt -e .bak,.sql

当然，我们还可以扫描多级，譬如我们的字典中有test，扫描时发现有test目录，则可以递归继续扫描test下的文件，可以使用下面的命令-recursion，通过-recursion-depth指定递归的深度（前面已经讲过了，这里就不再展开了）

ffuf -u http://192.168.10.215/FUZZ -w filename.txt -recursion -recursion-depth 3 -e .bak,.sql

目录穿越

http://192.168.10.215/pikachu/vul/dir/dir_list.php?title=

在检测目录穿越时，我们通常会发现有形如root:x的出现

图片[6]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

故，我们可以先找到目录穿越的注入点，譬如

/vul/dir/dir_list.php?title=

然后我们可以尝试在结果里匹配root:x 即-mr "root:x"

ffuf -u http://192.168.10.215/pikachu/vul/dir/dir_list.php?title=FUZZ -w directory_traversal.txt -mr "root:x"

这样就可以大大提升我们获取数据的效率

目录穿越字典：directory_traversal.txt

图片[7]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

暴力破解

-mode可以设置对应模式
- clusterbomb 交叉
- pitchfork 一一对应
- sniper 单个字典

我们可以将请求包保存为bruteforce.txt

图片[8]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

POST /pikachu/vul/burteforce/bf_form.php HTTP/1.1
Host: 192.168.10.215
Content-Length: 44
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Origin: http://192.168.10.215
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.10.215/pikachu/vul/burteforce/bf_form.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: security_level=0
Connection: close

username=USERNAME&password=PASSWORD&submit=Login

然后我们可以将username.txt字典替换上述的POST请求中的USERNAME，同样道理password.txt字典替换PASSWORD

ffuf -request bruteforce.txt -w username.txt:USERNAME,password.txt:PASSWORD

图片[9]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

我们可以看到响应大小很多都是4899，这里出现了4883，可以目测大概率就是密码了

图片[10]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

这时我们可以过滤掉4899，看看有没有多个账户可以破解成功的，这时就用到了我们最前面讲的-fs

ffuf -request bruteforce.txt -request-proto http -w username.txt:USERNAME,password.txt:PASSWORD -fs 4899

图片[11]-【渗透工具系列】模糊测试必备神器FFUF-FancyPig's blog

当然，你也可以根据返回的内容进行过滤，譬如用户名或密码不正确

ffuf -request bruteforce.txt -request-proto http -w username.txt:USERNAME,password.txt:PASSWORD -fr "<p> username or password is not"

文件上传

http://192.168.10.215/pikachu/vul/unsafeupload/getimagesize.php

后缀判断

ffuf -request upload -request-proto http -w most-common-extensions.txt

我们可以使用-fr筛选过滤掉响应包中指定大小的，从而确认哪些文件后缀是我们支持上传的

ffuf -request upload -request-proto http -w most-common-extensions.txt -fs 4672

【漏洞赏金渗透课程】如何快速找到文件上传支持的扩展名？

7个月前

4255213

Api接口测试

https://reqres.in/

首先，找端点

ffuf -u https://reqres.inFUZZ -w api-endpoints.txt

然后在针对端点下一级进行模糊测试，譬如我们发现有用户相关接口

https://reqres.in/api/user

我们可以手动去访问查看是否能看到所有的用户，通常是不能的，我们需要进行模糊测试

ffuf -u https://reqres.in/api/user/FUZZ -w number.txt

除此之外我们还可以进一步尝试，比方说用户是否可以登录

ffuf -u https://reqres.in/api/login -H "Content-Type: application/json; charset=utf-8" -d '{"email":"USERNAME","password":"PASSWORD"}' -w email.txt:USERNAME,password.txt:PASSWORD

【漏洞赏金渗透课程】Api接口渗透测试、Fuzz技巧分享

7个月前

6385617

限制请求速度

-p 两次请求间隔
-t 线程数
-rate 一秒请求数量

输出固定格式

-of
支持html、md、json、csv等多种格式

美化输出格式

-c 颜色高亮

使用代理

-x http://127.0.0.1:7890
与BurpSuite联动

字典补充

https://github.com/danielmiessler/SecLists/
https://github.com/swisskyrepo/PayloadsAllTheThings

相关声明 1 微信公众号：猪猪安全
2 本站永久网址：https://www.iculture.cc
3 本文内容仅为技术科普，请勿用于非法用途
4 本文内容未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习
5 根据《计算机软件保护条例》第十七条，本站所有软件请仅用于学习研究用途
6 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责

THE END