強大的Web Fuzz測試工具-Wfuzz

介紹

Wfuzz是一個基於Python的Web爆破程序，它支持多種方法來測試WEB應用的漏洞。你可以審計參數、登錄認證、GET/POST方式爆破的表單，並且可以發掘未公開的資源，比如目錄、文件和頭部之類的。

功能

• 可預測的認證

• 可預測的session標誌（session id）

• 可預測的資源定位（目錄和文件）

• 注入

• 路徑遍歷

• 溢出

• 跨站腳本

• 認證漏洞

• 不安全的直接對象引用

特性

參數

-c : Output with colors 帶顏色輸出

-v : Verbose information 版本信息

-o printer : Output format by stderr 格式化輸出

-t N : Specify the number of threads (20 default) 線程

-s N : Specify time delay between requests (0 default) 超時時間

-d postdata : Use post data (ex: "id=FUZZ&catalogue=1") post數據包

--hc : 過濾狀態碼

--sc : 只顯示狀態碼

使用

wfuzz -c -z file,/usr/share/wfuzz/wordlist/general/big.txt --hc 404 http://192.168.0.111:9090/FUZZ 目錄掃描

wfuzz -c -z file,user.txt -z file,pass.txt -d "username=FUZZ&password=FUZ2Z" --sc=200 http://192.168.0.111:9090/glzx.php web表單爆破

根據長度可知admin:admin為賬號密碼。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！