Shikata Ga Nai

Private? There is no such things.

Wfuzzをつかってみた

Hello there, ('ω')ノ

 

Wfuzzを使用するとWebサーバ内のファイルやディレクトリなど。

非表示のコンテンツを検索して、さらには攻撃ベクトルを見つけることができて。

 https://github.com/xmendez/wfuzz

 

f:id:ThisIsOne:20210611181059p:plain

 

下記がWfuzzのサイトで。

 https://wfuzz.readthedocs.io/en/latest/

 

f:id:ThisIsOne:20210611181219p:plain

 

また、FuzzDBは、攻撃パターン、予測可能なリソース名や。

興味深いサーバレスポンスを識別するための正規表現パターン。

およびドキュメントリソースのオープンソースデータベースで。

Webアプリケーションのセキュリティをテストするためによく使用されて。

 https://github.com/fuzzdb-project/fuzzdb

 

f:id:ThisIsOne:20210612111025p:plain

 

Wfuzzは、KaliやParrotにあらかじめインストールされていて。

ただ、実行してみると気になるエラーが。

 wfuzz

 

f:id:ThisIsOne:20210612093305p:plain

 

pycurlのエラー対応に書かれていて。

 https://wfuzz.readthedocs.io/en/latest/user/installation.html#installation-issues

 

f:id:ThisIsOne:20210612093836p:plain


まずは、アップデートから。

 sudo apt-get update

 

f:id:ThisIsOne:20210612093542p:plain

 

インストールして。

 sudo apt install libcurl4-openssl-dev

 

f:id:ThisIsOne:20210612093623p:plain

 

実行してみるものの何も変わらず。

SSLサイトをファジングすると、Wfuzzが正しく機能しない場合があるらしく。

昨日は、このエラー対応に無駄な時間を費やしてしまって。

他にWindowsやDockerで試す方法もあるのですが、どうしても気になって。

 

f:id:ThisIsOne:20210612093727p:plain

 

たとえば、DVWAをターゲットに。

 

f:id:ThisIsOne:20210612120604p:plain

 

今回、使用するファイルの中身は。

 

f:id:ThisIsOne:20210612121150p:plain

 

さっそく、下記のコマンドを実行してみると。

あまりにも結果となる情報が多いので。

 wfuzz -w wordlist/general/common.txt -u http://192.168.0.14/dvwa/FUZZ

 

f:id:ThisIsOne:20210612120726p:plain

 

オプションを追加して、必要な情報のみを。

 fuzz -w wordlist/general/common.txt --hc 404 http://192.168.0.14/dvwa/FUZZ

 

f:id:ThisIsOne:20210612121024p:plain

 

結果からアクセスしてみると。

 http://192.168.0.14/dvwa/setup

 

f:id:ThisIsOne:20210612121342p:plain

 

 http://192.168.0.14/dvwa/external/

 

f:id:ThisIsOne:20210612121548p:plain

 

このようなツールは、セキュリティ関連の資格試験などで出てくるものの。

あれもこれもと覚えたり使う必要はなくて。

同じようなことは、Burpの機能にもあって。

多くのツールを使いこなすことよりも要は、使用するリストが重要で。

おそらく、実戦なしでペーパー上で資格取得しただけのエンジニアだと。

キモが何なのかは、難しいのではないかと。

 

f:id:ThisIsOne:20210612122348p:plain

 

f:id:ThisIsOne:20210612123041p:plain

 

Best regards, (^^ゞ