ffuf
v2.1.0
Ein schneller Web-Fuzzer, geschrieben in Go.
Laden Sie eine vorgefertigte Binärdatei von der Release-Seite herunter, entpacken Sie sie und führen Sie sie aus!
oder
Wenn Sie macOS mit Homebrew verwenden, kann ffuf installiert werden mit: brew install ffuf
oder
Wenn Sie den aktuellen Go-Compiler installiert haben: go install github.com/ffuf/ffuf/v2@latest (derselbe Befehl funktioniert für die Aktualisierung)
oder
git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build
Ffuf hängt von Go 1.16 oder höher ab.
Die folgenden Anwendungsbeispiele zeigen nur die einfachsten Aufgaben, die Sie mit ffuf ausführen können.
Eine ausführlichere Dokumentation, die viele Funktionen mit vielen Beispielen behandelt, ist im ffuf-Wiki unter https://github.com/ffuf/ffuf/wiki verfügbar
Eine ausführlichere Dokumentation mit Anwendungsbeispielen und Tipps aus der Praxis finden Sie im tollen Leitfaden „Alles, was Sie über FFUF wissen müssen“ von Michael Skelton (@codingo).
Sie können Ihre ffuf-Scans auch gegen einen Live-Host mit verschiedenen Lektionen und Anwendungsfällen üben, entweder lokal mithilfe des Docker-Containers https://github.com/adamtlangley/ffufme oder gegen die live gehostete Version, die unter http://ffuf.me erstellt wurde von Adam Langley @adamlangley.
Durch die Verwendung des Schlüsselworts FUZZ am Ende der URL ( -u ):
ffuf -w /path/to/wordlist -u https://target/FUZZ
Unter der Annahme, dass die Standardantwortgröße des virtuellen Hosts 4242 Byte beträgt, können wir alle Antworten dieser Größe herausfiltern ( -fs 4242 ), während wir den Host-Header unscharf machen:
ffuf -w /path/to/vhost/wordlist -u https://target -H "Host: FUZZ" -fs 4242
Das Fuzzing von GET-Parameternamen ist der Verzeichniserkennung sehr ähnlich und funktioniert durch die Definition des Schlüsselworts FUZZ als Teil der URL. Dies setzt auch eine Antwortgröße von 4242 Bytes für einen ungültigen GET-Parameternamen voraus.
ffuf -w /path/to/paramnames.txt -u https://target/script.php?FUZZ=test_value -fs 4242
Wenn der Parametername bekannt ist, können die Werte auf die gleiche Weise fuzzed werden. In diesem Beispiel wird davon ausgegangen, dass ein falscher Parameterwert den HTTP-Antwortcode 401 zurückgibt.
ffuf -w /path/to/values.txt -u https://target/script.php?valid_name=FUZZ -fc 401
Dies ist eine sehr einfache Operation, wiederum unter Verwendung des Schlüsselworts FUZZ . In diesem Beispiel wird nur ein Teil der POST-Anfrage unscharf gemacht. Wir filtern erneut die 401-Antworten heraus.
ffuf -w /path/to/postdata.txt -X POST -d "username=admin&password=FUZZ" -u https://target/login.php -fc 401
Wenn Sie nicht möchten, dass ffuf unbegrenzt ausgeführt wird, können Sie -maxtime verwenden. Dadurch wird der gesamte Vorgang nach einer bestimmten Zeit (in Sekunden) gestoppt.
ffuf -w /path/to/wordlist -u https://target/FUZZ -maxtime 60
Wenn Sie mit Rekursion arbeiten, können Sie die maximale Zeit pro Job mit -maxtime-job steuern. Dadurch wird der aktuelle Job nach einer bestimmten Zeit (in Sekunden) gestoppt und mit dem nächsten fortgefahren. Neue Jobs werden erstellt, wenn die Rekursionsfunktionalität ein Unterverzeichnis erkennt.
ffuf -w /path/to/wordlist -u https://target/FUZZ -maxtime-job 60 -recursion -recursion-depth 2
Es ist auch möglich, beide Flags zu kombinieren, um die maximale Ausführungszeit pro Job sowie die Gesamtausführungszeit zu begrenzen. Wenn Sie keine Rekursion verwenden, verhalten sich beide Flags gleich.
In diesem Beispiel fuzzen wir JSON-Daten, die über POST gesendet werden. Als Mutator wird Radamsa verwendet.
Wenn --input-cmd verwendet wird, zeigt ffuf Übereinstimmungen als Position an. Derselbe Positionswert steht dem Angerufenen als Umgebungsvariable $FFUF_NUM zur Verfügung. Wir verwenden diesen Positionswert als Startwert für den Mutator. Die Dateien example1.txt und example2.txt enthalten gültige JSON-Nutzlasten. Wir gleichen alle Antworten ab, filtern jedoch Antwortcode 400 - Bad request heraus:
ffuf --input-cmd 'radamsa --seed $FFUF_NUM example1.txt example2.txt' -H "Content-Type: application/json" -X POST -u https://ffuf.io.fi/FUZZ -mc all -fc 400
Es ist natürlich nicht sehr effizient, den Mutator für jede Nutzlast aufzurufen, daher können wir die Nutzlasten auch vorab generieren, immer noch am Beispiel von Radamsa:
# Generate 1000 example payloads
radamsa -n 1000 -o %n.txt example1.txt example2.txt
# This results into files 1.txt ... 1000.txt
# Now we can just read the payload data in a loop from file for ffuf
ffuf --input-cmd 'cat $FFUF_NUM.txt' -H "Content-Type: application/json" -X POST -u https://ffuf.io.fi/ -mc all -fc 400
Beim Ausführen von ffuf wird zunächst geprüft, ob eine Standardkonfigurationsdatei vorhanden ist. Der Standardpfad für eine ffufrc Datei ist $XDG_CONFIG_HOME/ffuf/ffufrc . Sie können in dieser Datei eine oder mehrere Optionen konfigurieren, die bei jedem nachfolgenden ffuf-Job angewendet werden. Ein Beispiel für eine ffufrc-Datei finden Sie hier.
Eine detailliertere Beschreibung zu den Speicherorten der Konfigurationsdateien finden Sie im Wiki: https://github.com/ffuf/ffuf/wiki/Configuration
Die in der Befehlszeile bereitgestellten Konfigurationsoptionen überschreiben diejenigen, die aus der Standarddatei ffufrc geladen werden. Hinweis: Dies gilt nicht für CLI-Flags, die mehr als einmal bereitgestellt werden können. Eines dieser Beispiele ist das Flag -H (Header). In diesem Fall werden stattdessen die in der Befehlszeile bereitgestellten -H -Werte an die Werte aus der Konfigurationsdatei angehängt .
Wenn Sie außerdem eine Reihe von Konfigurationsdateien für verschiedene Anwendungsfälle verwenden möchten, können Sie dies tun, indem Sie den Pfad der Konfigurationsdatei mithilfe des Befehlszeilenflags -config definieren, das den Dateipfad zur Konfigurationsdatei als Parameter verwendet.
Um den Testfall für ffuf zu definieren, verwenden Sie das Schlüsselwort FUZZ an einer beliebigen Stelle in der URL ( -u ), den Headern ( -H ) oder den POST-Daten ( -d ).
Fuzz Faster U Fool - v2.1.0
HTTP OPTIONS:
-H Header `"Name: Value"`, separated by colon. Multiple -H flags are accepted.
-X HTTP method to use
-b Cookie data `"NAME1=VALUE1; NAME2=VALUE2"` for copy as curl functionality.
-cc Client cert for authentication. Client key needs to be defined as well for this to work
-ck Client key for authentication. Client certificate needs to be defined as well for this to work
-d POST data
-http2 Use HTTP2 protocol (default: false)
-ignore-body Do not fetch the response content. (default: false)
-r Follow redirects (default: false)
-raw Do not encode URI (default: false)
-recursion Scan recursively. Only FUZZ keyword is supported, and URL (-u) has to end in it. (default: false)
-recursion-depth Maximum recursion depth. (default: 0)
-recursion-strategy Recursion strategy: "default" for a redirect based, and "greedy" to recurse on all matches (default: default)
-replay-proxy Replay matched requests using this proxy.
-sni Target TLS SNI, does not support FUZZ keyword
-timeout HTTP request timeout in seconds. (default: 10)
-u Target URL
-x Proxy URL (SOCKS5 or HTTP). For example: http://127.0.0.1:8080 or socks5://127.0.0.1:8080
GENERAL OPTIONS:
-V Show version information. (default: false)
-ac Automatically calibrate filtering options (default: false)
-acc Custom auto-calibration string. Can be used multiple times. Implies -ac
-ach Per host autocalibration (default: false)
-ack Autocalibration keyword (default: FUZZ)
-acs Custom auto-calibration strategies. Can be used multiple times. Implies -ac
-c Colorize output. (default: false)
-config Load configuration from a file
-json JSON output, printing newline-delimited JSON records (default: false)
-maxtime Maximum running time in seconds for entire process. (default: 0)
-maxtime-job Maximum running time in seconds per job. (default: 0)
-noninteractive Disable the interactive console functionality (default: false)
-p Seconds of `delay` between requests, or a range of random delay. For example "0.1" or "0.1-2.0"
-rate Rate of requests per second (default: 0)
-s Do not print additional information (silent mode) (default: false)
-sa Stop on all error cases. Implies -sf and -se. (default: false)
-scraperfile Custom scraper file path
-scrapers Active scraper groups (default: all)
-se Stop on spurious errors (default: false)
-search Search for a FFUFHASH payload from ffuf history
-sf Stop when > 95% of responses return 403 Forbidden (default: false)
-t Number of concurrent threads. (default: 40)
-v Verbose output, printing full URL and redirect location (if any) with the results. (default: false)
MATCHER OPTIONS:
-mc Match HTTP status codes, or "all" for everything. (default: 200-299,301,302,307,401,403,405,500)
-ml Match amount of lines in response
-mmode Matcher set operator. Either of: and, or (default: or)
-mr Match regexp
-ms Match HTTP response size
-mt Match how many milliseconds to the first response byte, either greater or less than. EG: >100 or <100
-mw Match amount of words in response
FILTER OPTIONS:
-fc Filter HTTP status codes from response. Comma separated list of codes and ranges
-fl Filter by amount of lines in response. Comma separated list of line counts and ranges
-fmode Filter set operator. Either of: and, or (default: or)
-fr Filter regexp
-fs Filter HTTP response size. Comma separated list of sizes and ranges
-ft Filter by number of milliseconds to the first response byte, either greater or less than. EG: >100 or <100
-fw Filter by amount of words in response. Comma separated list of word counts and ranges
INPUT OPTIONS:
-D DirSearch wordlist compatibility mode. Used in conjunction with -e flag. (default: false)
-e Comma separated list of extensions. Extends FUZZ keyword.
-enc Encoders for keywords, eg. 'FUZZ:urlencode b64encode'
-ic Ignore wordlist comments (default: false)
-input-cmd Command producing the input. --input-num is required when using this input method. Overrides -w.
-input-num Number of inputs to test. Used in conjunction with --input-cmd. (default: 100)
-input-shell Shell to be used for running command
-mode Multi-wordlist operation mode. Available modes: clusterbomb, pitchfork, sniper (default: clusterbomb)
-request File containing the raw http request
-request-proto Protocol to use along with raw request (default: https)
-w Wordlist file path and (optional) keyword separated by colon. eg. '/path/to/wordlist:KEYWORD'
OUTPUT OPTIONS:
-debug-log Write all of the internal logging to the specified file.
-o Write output to file
-od Directory path to store matched results to.
-of Output file format. Available formats: json, ejson, html, md, csv, ecsv (or, 'all' for all formats) (default: json)
-or Don't create the output file if we don't have results (default: false)
EXAMPLE USAGE:
Fuzz file paths from wordlist.txt, match all responses but filter out those with content-size 42.
Colored, verbose output.
ffuf -w wordlist.txt -u https://example.org/FUZZ -mc all -fs 42 -c -v
Fuzz Host-header, match HTTP 200 responses.
ffuf -w hosts.txt -u https://example.org/ -H "Host: FUZZ" -mc 200
Fuzz POST JSON data. Match all responses not containing text "error".
ffuf -w entries.txt -u https://example.org/ -X POST -H "Content-Type: application/json"
-d '{"name": "FUZZ", "anotherkey": "anothervalue"}' -fr "error"
Fuzz multiple locations. Match only responses reflecting the value of "VAL" keyword. Colored.
ffuf -w params.txt:PARAM -w values.txt:VAL -u https://example.org/?PARAM=VAL -mr "VAL" -c
More information and examples: https://github.com/ffuf/ffuf
Durch Drücken ENTER während der ffuf-Ausführung wird der Prozess angehalten und der Benutzer wechselt in einen Shell-ähnlichen interaktiven Modus:
entering interactive mode
type "help" for a list of commands, or ENTER to resume.
> help
available commands:
afc [value] - append to status code filter
fc [value] - (re)configure status code filter
afl [value] - append to line count filter
fl [value] - (re)configure line count filter
afw [value] - append to word count filter
fw [value] - (re)configure word count filter
afs [value] - append to size filter
fs [value] - (re)configure size filter
aft [value] - append to time filter
ft [value] - (re)configure time filter
rate [value] - adjust rate of requests per second (active: 0)
queueshow - show job queue
queuedel [number] - delete a job in the queue
queueskip - advance to the next queued job
restart - restart and resume the current ffuf job
resume - resume current ffuf job (or: ENTER)
show - show results for the current job
savejson [filename] - save current matches to a file
help - you are looking at it
>
In diesem Modus können Filter neu konfiguriert, Warteschlangen verwaltet und der aktuelle Status auf der Festplatte gespeichert werden.
Wenn die Filter (neu) konfiguriert werden, werden sie posthum angewendet und alle falsch positiven Übereinstimmungen aus dem Speicher, die durch die neu hinzugefügten Filter herausgefiltert worden wären, werden gelöscht.
Der neue Status der Übereinstimmungen kann mit dem Befehl show ausgedruckt werden, der alle Übereinstimmungen so ausgibt, als ob sie von ffuf gefunden worden wären.
Da „negative“ Übereinstimmungen nicht im Speicher gespeichert werden, kann eine Lockerung der Filter die verlorenen Übereinstimmungen leider nicht wiederherstellen. Für ein solches Szenario kann der Benutzer den Befehl restart verwenden, der den Status zurücksetzt und den aktuellen Job von vorne startet.
ffuf wird unter MIT-Lizenz veröffentlicht. Siehe LIZENZ.
