ITスキル

2023年3月4日 / 最終更新日時 : 2023年9月26日 yokohama ITスキル

ゆっくりffuf

「FUZZ」という変数名に、指定した辞書ファイルの中身を総当りで代入して、ブルート・フォースするツール。bobusterに似ているが、個人的にこちらのほうが好き。

基本的な使い方

## 単一代入（スナイパー）

#=> GET URLにファジング
$ ffuf -u http://192.168.0.1/FUZZ -w ./word.txt

#=> Headerにファジング
$ ffuf -H "Host: FUZZ" -u http://192.168.0.1 -w ./word.txt

#=> Cookieにファジング
$ ffuf -b "session=FUZZ; token=12345" -u http://192.168.0.1 -w ./word.txt

#=> POSTのjsonデータにファジング
$ ffuf -X POST -H "Content-Type: application/json" -d '{ "email": "admin@hoge.com", "password": "FUZZ" }' -u http://192.168.0.1 -w ./word.txt

ご覧のように、オプションがcurlとそっくりなので、とても覚えやすい。

フィルターオプション ( -f )

無効な結果も、辞書ファイルのレコード分出力されるので、絞りたい。フィルター系オプションは、「f」から始まると覚えておくといい。以下、よく使うものを抜粋。

オプション	仕様例	説明
-fc	-fc 401,404	Filter Code 指定（複数指定可）したステータスコードを結果から除外
-fs	-fs 1987,26	Filter Size 指定（複数指定可）したサイズを結果から除外。結果のステータスコードが全て同じだったとしても、サイズが違うものに着目するとヒントがあるかも。

カテゴリー: ITスキル、ハッキング

タグ: セキュリティ

コメントを残すコメントをキャンセル

ITスキル

2023年3月4日

ITスキル

2023年3月7日

ゆっくりffuf

基本的な使い方

フィルターオプション ( -f )

コメントを残すコメントをキャンセル

ゆっくりgobuster

MySQL / PostgreSQL / SQLite比較シート

基本的な使い方

フィルターオプション ( -f )

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル