El proceso de fuzzing es un proceso importante al realizar pruebas de penetración, Bug Bounty o incluso jugar desafíos CTF. Fuzzing es el paso inicial para extraer datos confidenciales como archivos de contraseña, archivos de nombre de usuario, directorios, ubicaciones vulnerables, etc. A menudo utilizamos varias herramientas para obtener esta información. Tenemos que pasar nuestra lista de palabras personalizada para realizar fuerza bruta a veces. Pero tenemos una herramienta increíble llamada CWFF que borra los puntos finales y parámetros sensibles sin proporcionar ninguna lista de palabras. La herramienta CWFF está desarrollada en el lenguaje Python y tiene muchas características clave como escaneo recursivo, información jugosa, js-info y muchas más. La herramienta CWFF es una herramienta de código abierto y de uso gratuito.
Nota : asegúrese de tener Python instalado en su sistema, ya que esta es una herramienta basada en Python. Haga clic para verificar el proceso de instalación: Pasos de instalación de Python en Linux
Instalación de la herramienta CWFF en el sistema operativo Kali Linux
Paso 1 : Verifique si el entorno de Python está establecido o no, use el siguiente comando.
python3
Paso 2 : Abra su terminal Kali Linux y muévase a Escritorio usando el siguiente comando.
cd Desktop
Paso 3 : Ahora está en el escritorio, cree un nuevo directorio llamado CWFF usando el siguiente comando. En este directorio completaremos la instalación de la herramienta CWFF.
mkdir CWFF
Paso 4 : Ahora cambie al directorio CWFF usando el siguiente comando.
cd CWFF
Paso 5 : Ahora tienes que instalar la herramienta. Tienes que clonar la herramienta desde GitHub.
git clone https://github.com/D4Vinci/CWFF.git
Paso 6 : la herramienta se ha descargado correctamente en el directorio CWFF. Ahora enumere el contenido de la herramienta usando el siguiente comando.
ls
Paso 7 : Puede observar que se creó un nuevo directorio de la herramienta CWFF que se generó mientras instalábamos la herramienta. Ahora muévete a ese directorio usando el siguiente comando:
cd CWFF
Paso 8 : Una vez más, para descubrir el contenido de la herramienta, use el siguiente comando.
ls
Paso 9 : descargue los paquetes necesarios para ejecutar la herramienta, use el siguiente comando.
sudo pip3 install -r requirements.txt
Paso 10 : Ahora que hemos terminado con nuestra instalación, use el siguiente comando para ver el índice de ayuda (da una mejor comprensión de la herramienta) de la herramienta.
python3 cwff.py --help
Trabajar con la herramienta CWFF en el sistema operativo Kali Linux
Ejemplo 1: información recursiva
python3 cwff.py --recursive http://testphp.vulnweb.com/
1. En este ejemplo, intentaremos obtener más información agregando la función recursiva de esta herramienta y, como puede ver, no hemos agregado ninguna lista de palabras a continuación.
2. En la siguiente captura de pantalla, tenemos 2 archivos únicos que contienen puntos finales y una lista de parámetros.
3. En la siguiente captura de pantalla, hemos mostrado el archivo de puntos finales.
4. En la siguiente captura de pantalla, tenemos la lista de parámetros únicos que están vinculados con el dominio de destino.
Ejemplo 2: archivos jugosos
python3 cwff.py --juicy-files http://testphp.vulnweb.com/
1. En este ejemplo, intentaremos obtener algunas cosas jugosas desde el punto final. Hemos utilizado la etiqueta –juicy-files para su uso.
2. En la siguiente captura de pantalla, tenemos los resultados de nuestro escaneo.
Ejemplo 3: Dominio completo
python3 cwff.py http://testphp.vulnweb.com/
1. En este ejemplo, realizaremos un análisis profundo en nuestro dominio de destino. Esto descubrirá algunos puntos finales y parámetros adicionales que se pasaron por alto en los Ejemplos 1 y 2.
2. En la siguiente captura de pantalla, el escaneo completo del dominio se ejecuta con éxito y los resultados se guardan en archivos dedicados.
3. En la siguiente captura de pantalla, mostramos el archivo que contiene los 662 puntos finales únicos.
4. En la siguiente captura de pantalla, mostramos el archivo único que consta de 12 parámetros.
Publicación traducida automáticamente
Artículo escrito por gauravgandal y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA