ffuf
v2.1.0
Um web fuzzer rápido escrito em Go.
Baixe um binário pré-construído na página de lançamentos, descompacte e execute!
ou
Se você estiver no macOS com homebrew, o ffuf pode ser instalado com: brew install ffuf
ou
Se você tiver o compilador go recente instalado: go install github.com/ffuf/ffuf/v2@latest (o mesmo comando funciona para atualização)
ou
git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build
Ffuf depende do Go 1.16 ou superior.
Os exemplos de uso abaixo mostram apenas as tarefas mais simples que você pode realizar usando ffuf .
Documentação mais elaborada que aborda muitos recursos com muitos exemplos está disponível no wiki do ffuf em https://github.com/ffuf/ffuf/wiki
Para uma documentação mais extensa, com exemplos e dicas de uso na vida real, não deixe de conferir o incrível guia: "Tudo o que você precisa saber sobre FFUF" de Michael Skelton (@codingo).
Você também pode praticar suas varreduras ffuf em um host ativo com diferentes lições e casos de uso localmente usando o contêiner docker https://github.com/adamtlangley/ffufme ou na versão hospedada ao vivo em http://ffuf.me criado por Adam Langley @adamtlangley.
Usando a palavra-chave FUZZ no final do URL ( -u ):
ffuf -w /path/to/wordlist -u https://target/FUZZ
Supondo que o tamanho de resposta padrão do virtualhost seja 4242 bytes, podemos filtrar todas as respostas desse tamanho ( -fs 4242 ) enquanto confundimos o cabeçalho Host -:
ffuf -w /path/to/vhost/wordlist -u https://target -H "Host: FUZZ" -fs 4242
A difusão do nome do parâmetro GET é muito semelhante à descoberta de diretório e funciona definindo a palavra-chave FUZZ como parte do URL. Isso também pressupõe um tamanho de resposta de 4.242 bytes para nome de parâmetro GET inválido.
ffuf -w /path/to/paramnames.txt -u https://target/script.php?FUZZ=test_value -fs 4242
Se o nome do parâmetro for conhecido, os valores poderão ser confundidos da mesma maneira. Este exemplo pressupõe um valor de parâmetro incorreto que retorna o código de resposta HTTP 401.
ffuf -w /path/to/values.txt -u https://target/script.php?valid_name=FUZZ -fc 401
Esta é uma operação muito simples, novamente usando a palavra-chave FUZZ . Este exemplo está difundindo apenas parte da solicitação POST. Estamos novamente filtrando as respostas 401.
ffuf -w /path/to/postdata.txt -X POST -d "username=admin&password=FUZZ" -u https://target/login.php -fc 401
Se não quiser que o ffuf seja executado indefinidamente, você pode usar o -maxtime . Isso interrompe todo o processo após um determinado tempo (em segundos).
ffuf -w /path/to/wordlist -u https://target/FUZZ -maxtime 60
Ao trabalhar com recursão, você pode controlar o maxtime por trabalho usando -maxtime-job . Isso interromperá o trabalho atual após um determinado tempo (em segundos) e continuará com o próximo. Novos trabalhos são criados quando a funcionalidade de recursão detecta um subdiretório.
ffuf -w /path/to/wordlist -u https://target/FUZZ -maxtime-job 60 -recursion -recursion-depth 2
Também é possível combinar os dois sinalizadores limitando o tempo máximo de execução por trabalho, bem como o tempo geral de execução. Se você não usar recursão, ambos os sinalizadores se comportarão igualmente.
Neste exemplo, faremos o fuzz dos dados JSON enviados por POST. Radamsa é usado como mutador.
Quando --input-cmd é usado, ffuf exibirá as correspondências como suas posições. Este mesmo valor de posição estará disponível para o chamado como uma variável de ambiente $FFUF_NUM . Usaremos esse valor de posição como semente para o mutador. Os arquivos example1.txt e example2.txt contêm cargas JSON válidas. Estamos combinando todas as respostas, mas filtrando o código de resposta 400 - Bad request :
ffuf --input-cmd 'radamsa --seed $FFUF_NUM example1.txt example2.txt' -H "Content-Type: application/json" -X POST -u https://ffuf.io.fi/FUZZ -mc all -fc 400
É claro que não é muito eficiente chamar o modificador para cada carga útil, então também podemos pré-gerar as cargas, ainda usando Radamsa como exemplo:
# Generate 1000 example payloads
radamsa -n 1000 -o %n.txt example1.txt example2.txt
# This results into files 1.txt ... 1000.txt
# Now we can just read the payload data in a loop from file for ffuf
ffuf --input-cmd 'cat $FFUF_NUM.txt' -H "Content-Type: application/json" -X POST -u https://ffuf.io.fi/ -mc all -fc 400
Ao executar o ffuf, ele primeiro verifica se existe um arquivo de configuração padrão. O caminho padrão para um arquivo ffufrc é $XDG_CONFIG_HOME/ffuf/ffufrc . Você pode configurar uma ou várias opções neste arquivo e elas serão aplicadas em todos os trabalhos ffuf subsequentes. Um exemplo de arquivo ffufrc pode ser encontrado aqui.
Uma descrição mais detalhada sobre os locais dos arquivos de configuração pode ser encontrada no wiki: https://github.com/ffuf/ffuf/wiki/Configuration
As opções de configuração fornecidas na linha de comando substituem aquelas carregadas do arquivo ffufrc padrão. Observação: isso não se aplica a sinalizadores CLI que podem ser fornecidos mais de uma vez. Um desses exemplos é o sinalizador -H (cabeçalho). Nesse caso, os valores -H fornecidos na linha de comando serão anexados aos do arquivo de configuração.
Além disso, caso deseje usar vários arquivos de configuração para diferentes casos de uso, você pode fazer isso definindo o caminho do arquivo de configuração usando o sinalizador de linha de comando -config que leva o caminho do arquivo para o arquivo de configuração como parâmetro.
Para definir o caso de teste para ffuf, use a palavra-chave FUZZ em qualquer lugar da URL ( -u ), cabeçalhos ( -H ) ou dados POST ( -d ).
Fuzz Faster U Fool - v2.1.0
HTTP OPTIONS:
-H Header `"Name: Value"`, separated by colon. Multiple -H flags are accepted.
-X HTTP method to use
-b Cookie data `"NAME1=VALUE1; NAME2=VALUE2"` for copy as curl functionality.
-cc Client cert for authentication. Client key needs to be defined as well for this to work
-ck Client key for authentication. Client certificate needs to be defined as well for this to work
-d POST data
-http2 Use HTTP2 protocol (default: false)
-ignore-body Do not fetch the response content. (default: false)
-r Follow redirects (default: false)
-raw Do not encode URI (default: false)
-recursion Scan recursively. Only FUZZ keyword is supported, and URL (-u) has to end in it. (default: false)
-recursion-depth Maximum recursion depth. (default: 0)
-recursion-strategy Recursion strategy: "default" for a redirect based, and "greedy" to recurse on all matches (default: default)
-replay-proxy Replay matched requests using this proxy.
-sni Target TLS SNI, does not support FUZZ keyword
-timeout HTTP request timeout in seconds. (default: 10)
-u Target URL
-x Proxy URL (SOCKS5 or HTTP). For example: http://127.0.0.1:8080 or socks5://127.0.0.1:8080
GENERAL OPTIONS:
-V Show version information. (default: false)
-ac Automatically calibrate filtering options (default: false)
-acc Custom auto-calibration string. Can be used multiple times. Implies -ac
-ach Per host autocalibration (default: false)
-ack Autocalibration keyword (default: FUZZ)
-acs Custom auto-calibration strategies. Can be used multiple times. Implies -ac
-c Colorize output. (default: false)
-config Load configuration from a file
-json JSON output, printing newline-delimited JSON records (default: false)
-maxtime Maximum running time in seconds for entire process. (default: 0)
-maxtime-job Maximum running time in seconds per job. (default: 0)
-noninteractive Disable the interactive console functionality (default: false)
-p Seconds of `delay` between requests, or a range of random delay. For example "0.1" or "0.1-2.0"
-rate Rate of requests per second (default: 0)
-s Do not print additional information (silent mode) (default: false)
-sa Stop on all error cases. Implies -sf and -se. (default: false)
-scraperfile Custom scraper file path
-scrapers Active scraper groups (default: all)
-se Stop on spurious errors (default: false)
-search Search for a FFUFHASH payload from ffuf history
-sf Stop when > 95% of responses return 403 Forbidden (default: false)
-t Number of concurrent threads. (default: 40)
-v Verbose output, printing full URL and redirect location (if any) with the results. (default: false)
MATCHER OPTIONS:
-mc Match HTTP status codes, or "all" for everything. (default: 200-299,301,302,307,401,403,405,500)
-ml Match amount of lines in response
-mmode Matcher set operator. Either of: and, or (default: or)
-mr Match regexp
-ms Match HTTP response size
-mt Match how many milliseconds to the first response byte, either greater or less than. EG: >100 or <100
-mw Match amount of words in response
FILTER OPTIONS:
-fc Filter HTTP status codes from response. Comma separated list of codes and ranges
-fl Filter by amount of lines in response. Comma separated list of line counts and ranges
-fmode Filter set operator. Either of: and, or (default: or)
-fr Filter regexp
-fs Filter HTTP response size. Comma separated list of sizes and ranges
-ft Filter by number of milliseconds to the first response byte, either greater or less than. EG: >100 or <100
-fw Filter by amount of words in response. Comma separated list of word counts and ranges
INPUT OPTIONS:
-D DirSearch wordlist compatibility mode. Used in conjunction with -e flag. (default: false)
-e Comma separated list of extensions. Extends FUZZ keyword.
-enc Encoders for keywords, eg. 'FUZZ:urlencode b64encode'
-ic Ignore wordlist comments (default: false)
-input-cmd Command producing the input. --input-num is required when using this input method. Overrides -w.
-input-num Number of inputs to test. Used in conjunction with --input-cmd. (default: 100)
-input-shell Shell to be used for running command
-mode Multi-wordlist operation mode. Available modes: clusterbomb, pitchfork, sniper (default: clusterbomb)
-request File containing the raw http request
-request-proto Protocol to use along with raw request (default: https)
-w Wordlist file path and (optional) keyword separated by colon. eg. '/path/to/wordlist:KEYWORD'
OUTPUT OPTIONS:
-debug-log Write all of the internal logging to the specified file.
-o Write output to file
-od Directory path to store matched results to.
-of Output file format. Available formats: json, ejson, html, md, csv, ecsv (or, 'all' for all formats) (default: json)
-or Don't create the output file if we don't have results (default: false)
EXAMPLE USAGE:
Fuzz file paths from wordlist.txt, match all responses but filter out those with content-size 42.
Colored, verbose output.
ffuf -w wordlist.txt -u https://example.org/FUZZ -mc all -fs 42 -c -v
Fuzz Host-header, match HTTP 200 responses.
ffuf -w hosts.txt -u https://example.org/ -H "Host: FUZZ" -mc 200
Fuzz POST JSON data. Match all responses not containing text "error".
ffuf -w entries.txt -u https://example.org/ -X POST -H "Content-Type: application/json"
-d '{"name": "FUZZ", "anotherkey": "anothervalue"}' -fr "error"
Fuzz multiple locations. Match only responses reflecting the value of "VAL" keyword. Colored.
ffuf -w params.txt:PARAM -w values.txt:VAL -u https://example.org/?PARAM=VAL -mr "VAL" -c
More information and examples: https://github.com/ffuf/ffuf
Ao pressionar ENTER durante a execução do ffuf, o processo é pausado e o usuário entra em um modo interativo semelhante ao shell:
entering interactive mode
type "help" for a list of commands, or ENTER to resume.
> help
available commands:
afc [value] - append to status code filter
fc [value] - (re)configure status code filter
afl [value] - append to line count filter
fl [value] - (re)configure line count filter
afw [value] - append to word count filter
fw [value] - (re)configure word count filter
afs [value] - append to size filter
fs [value] - (re)configure size filter
aft [value] - append to time filter
ft [value] - (re)configure time filter
rate [value] - adjust rate of requests per second (active: 0)
queueshow - show job queue
queuedel [number] - delete a job in the queue
queueskip - advance to the next queued job
restart - restart and resume the current ffuf job
resume - resume current ffuf job (or: ENTER)
show - show results for the current job
savejson [filename] - save current matches to a file
help - you are looking at it
>
neste modo, os filtros podem ser reconfigurados, as filas gerenciadas e o estado atual salvo no disco.
Ao (re)configurar os filtros, eles são aplicados postumamente e todas as correspondências falso-positivas da memória que teriam sido filtradas pelos filtros recém-adicionados são excluídas.
O novo estado das correspondências pode ser impresso com um comando show que imprimirá todas as correspondências como se tivessem sido encontradas por ffuf .
Como as correspondências "negativas" não são armazenadas na memória, infelizmente o relaxamento dos filtros não pode trazer de volta as correspondências perdidas. Para este tipo de cenário, o usuário pode utilizar o comando restart , que redefine o estado e inicia o trabalho atual desde o início.
ffuf é lançado sob licença do MIT. Consulte LICENÇA.
