我喜欢SEO、网络营销及建站,希望与志同道合的您
建立合作或相互学习关系 QQ:10343829

kali-Wfuzz 模糊测试简单使用教程

Wfuzz 默认字典目录  /usr/share/wfuzz/wordlist/

1.  安装:apt-get install wfuzz  (kali自带)

2. 一个典型的Wfuzz命令行执行,指定一个字典有效负载和一个URL,如下所示:

   wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://testphp.vulnweb.com/FUZZ#

3. 测试URL中的参数

   wfuzz -z range,0-100 --hl 106 http://192.168.0.102/Home/Run/tui.html?uid=FUZZ

4. 发现一个登录框,没有验证码,想爆破弱口令账户。

POST请求正文为:username=&password=

wfuzz -w userList -w pwdList -d "username=FUZZ&password=FUZ2Z" http://127.0.0.1/login.php

5. wfuzz本身自带字典:

├── Injections
│   ├── All_attack.txt
│   ├── SQL.txt
│   ├── Traversal.txt
│   ├── XML.txt
│   ├── XSS.txt
│   └── bad_chars.txt
├── general
│   ├── admin-panels.txt
│   ├── big.txt
│   ├── catala.txt
│   ├── common.txt
│   ├── euskera.txt
│   ├── extensions_common.txt
│   ├── http_methods.txt
│   ├── medium.txt
│   ├── megabeast.txt
│   ├── mutations_common.txt
│   ├── spanish.txt
│   └── test.txt
├── others
│   ├── common_pass.txt
│   └── names.txt
├── stress
│   ├── alphanum_case.txt
│   ├── alphanum_case_extra.txt
│   ├── char.txt
│   ├── doble_uri_hex.txt
│   ├── test_ext.txt
│   └── uri_hex.txt
├── vulns
│   ├── apache.txt
│   ├── cgis.txt
│   ├── coldfusion.txt
│   ├── dirTraversal-nix.txt
│   ├── dirTraversal-win.txt
│   ├── dirTraversal.txt
│   ├── domino.txt
│   ├── fatwire.txt
│   ├── fatwire_pagenames.txt
│   ├── frontpage.txt
│   ├── iis.txt
│   ├── iplanet.txt
│   ├── jrun.txt
│   ├── netware.txt
│   ├── oracle9i.txt
│   ├── sharepoint.txt
│   ├── sql_inj.txt
│   ├── sunas.txt
│   ├── tests.txt
│   ├── tomcat.txt
│   ├── vignette.txt
│   ├── weblogic.txt
│   └── websphere.txt
└── webservices
    ├── ws-dirs.txt
    └── ws-files.txt

6.  Wfuzz爆破文件:

     wfuzz -w wordlist URL/FUZZ.php

7. Wfuzz爆破目录:

    wfuzz -w wordlist URL/FUZZ

8. 参考资料:

https://www.cnblogs.com/yida223/p/12229323.html

++

转载请著名来源:天天小站 » kali-Wfuzz 模糊测试简单使用教程

分享到:更多 ()