• 🚨 29 мая стартует курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    После старта курса запись открыта еще 10 дней Подробнее о курсе ...

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

Soft WebFuzz

base64_32

One Level
24.05.2024
6
5
Добрый день, сообщество codeby, недавно, при прохождении CTF на tryhackme вроде бы, я подумал, не стоит ли мне сделать свой вебфаззер на манер wfuzz, или ffuf, мне не сильно симпатизирует их реализация, поэтому я решил написать свой. Поэтому представляю вам свою вариацию вебфаззера

GitHub - LSD00/webfuzz: The very fast webfuzzer, support encoders, working with raw requests - относительно простой в использовании webfuzzer написанный на golang, а-ля burp intruder, но с небольшими наворотами и в cli, имеется поддержка таких енкодеров как: hex, base64. url. Возможно сам проект будет обновляться(если будет идея чем :D)
Сам же инструмент прост в использовании, для того что бы укзаать какое поле/параметр/header нужно тестировать используется шаблон, например: {{ .CreatePayload `none` }} none же говорит о том что енкодер не нужен, еще имеется подержка регулярок и фильтрации по статус коду

Сам проект еще в разработке, принимаю любую критику, предложения, советы по поводу обновлений, коду и прочее
webfuzz_screen.png
 
Отличись и сделай автоматизацию, чтобы сначала искало директории рекурсивно по словарю, затем скрытые параметры, формы. Далее в GET lfi/LFR, sqli error. Просто опцией --auto
 
Отличись и сделай автоматизацию, чтобы сначала искало директории рекурсивно по словарю, затем скрытые параметры, формы. Далее в GET lfi/LFR, sqli error. Просто опцией --auto
Довльно интересная идея, я подумаю возможно над реализацией
 
Небольшой апдейт, добавлена нормальная поддержка POST запросов, как Json так и стандартные form, скорее всего следующий апдейт будет просто приводить код в божеский вид
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Курс AD