wfuzz
HacktheboxのShoppyをやっていて、Writeupに登場していたwfuzzを初めて使ったのでメモしておく。
URL文字列をFUZZ
wfuzz -w <WORDLIST> -u http://example.com/FUZZ結果をファイル出力
// Lists the available output formatswfuzz -e printers
wfuzz -w <WORDLIST> -u http://example.com/FUZZ -f /path/to/file.jsonwfuzz -w <WORDLIST> -u http://example.com/FUZZ -f /path/to/file.csvGETパラメータのFUZZ
wfuzz -w <WORDLIST> -u http://example.com?param=FUZZPOSTパラメータのFUZZ
wfuzz -w <WORDLIST> -u http://example.com -d "param=FUZZ"CookieのFUZZ
wfuzz -w <WORDLIST> -u http://example.com -b cookie=FUZZヘッダー文字列をFUZZ
サブドメインの調査にも。
wfuzz -w <WORDLIST> -u http://example.com -H 'Host: FUZZ.example.com'試行結果のうち〇〇を表示する/排除する
ステータスコードが〇〇のものを表示する
–sc <STATUS_CODE>-sl <LINE>-sw <WORD>-sh <CHAR NUM>-ss <REGEX>ステータスコードが〇〇のものを排除する
–hc <STATUS_CODE>-hl <LINE>-hw <WORD>-hh <CHAR NUM>-hs <REGEX>