wfuzz
HacktheboxのShoppyをやっていて、Writeupに登場していたwfuzzを初めて使ったのでメモしておく。
URL文字列をFUZZ
wfuzz -w <WORDLIST> -u http://example.com/FUZZ
結果をファイル出力
// Lists the available output formatswfuzz -e printers
wfuzz -w <WORDLIST> -u http://example.com/FUZZ -f /path/to/file.jsonwfuzz -w <WORDLIST> -u http://example.com/FUZZ -f /path/to/file.csv
GETパラメータのFUZZ
wfuzz -w <WORDLIST> -u http://example.com?param=FUZZ
POSTパラメータのFUZZ
wfuzz -w <WORDLIST> -u http://example.com -d "param=FUZZ"
CookieのFUZZ
wfuzz -w <WORDLIST> -u http://example.com -b cookie=FUZZ
ヘッダー文字列をFUZZ
サブドメインの調査にも。
wfuzz -w <WORDLIST> -u http://example.com -H 'Host: FUZZ.example.com'
試行結果のうち〇〇を表示する/排除する
ステータスコードが〇〇のものを表示する
–sc <STATUS_CODE>-sl <LINE>-sw <WORD>-sh <CHAR NUM>-ss <REGEX>
ステータスコードが〇〇のものを排除する
–hc <STATUS_CODE>-hl <LINE>-hw <WORD>-hh <CHAR NUM>-hs <REGEX>