FFUF 使用教程

于 2024-08-10 07:02:13 发布
阅读量390 收藏 6
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00194/article/details/141075390
版权

FFUF 使用教程

ffufFast web fuzzer written in Go项目地址:https://gitcode.com/gh_mirrors/ff/ffuf

项目介绍

FFUF(Fuzz Faster U Fool)是一个用Go语言编写的快速Web模糊测试工具。它主要用于安全测试,可以帮助渗透测试人员、道德黑客和取证专家进行目录发现、虚拟主机发现(无需DNS记录)以及GET和POST参数的模糊测试。FFUF具有高效的性能和灵活的配置选项,是进行Web安全测试的强大工具。

项目快速启动

安装FFUF

首先,确保你已经安装了Go环境(Go 1.16或更高版本)。然后,通过以下命令安装FFUF:

go install github.com/ffuf/ffuf/v2@latest

或者,你可以通过Git克隆项目并手动构建:

git clone https://github.com/ffuf/ffuf.git
cd ffuf
go get
go build

基本命令

以下是一个基本的FFUF命令示例,用于对目标URL进行目录爆破:

ffuf -u http://example.com/FUZZ -w wordlist.txt -e .php,.html

在这个命令中:

  • -u 指定目标URL。
  • -w 指定字典文件。
  • -e 指定要测试的文件扩展名。

应用案例和最佳实践

目录发现

使用FFUF进行目录发现时,可以使用以下命令:

ffuf -w directory-list-2.3-medium.txt -u http://example.com/FUZZ -mc 200

在这个命令中:

  • -w 指定一个包含潜在目录名的字典文件。
  • -u 指定目标URL。
  • -mc 200 指定只显示状态码为200的响应。

子域名爆破

使用FFUF进行子域名爆破时,可以使用以下命令:

ffuf -w subdomains.txt -u http://FUZZ.example.com -H "Host: FUZZ.example.com" -mc 200

在这个命令中:

  • -w 指定一个包含潜在子域名的字典文件。
  • -u 指定目标URL。
  • -H 添加HTTP头信息。
  • -mc 200 指定只显示状态码为200的响应。

参数模糊测试

使用FFUF进行参数模糊测试时,可以使用以下命令:

ffuf -w wordlist.txt -X POST -d "username=admin&password=FUZZ" -u http://example.com/login -mc 200

在这个命令中:

  • -w 指定一个包含潜在密码的字典文件。
  • -X POST 指定HTTP方法为POST。
  • -d 指定POST数据。
  • -u 指定目标URL。
  • -mc 200 指定只显示状态码为200的响应。

典型生态项目

字典文件

FFUF的强大功能在很大程度上依赖于高质量的字典文件。以下是一些常用的字典文件资源:

  • SecLists:一个包含各种安全测试列表的集合,包括用户名、密码、URL、敏感数据模式、模糊测试 payload、Web shell 等。

自动化脚本

FFUF可以与各种自动化脚本结合使用,以提高测试效率。以下是一些常用的自动化脚本资源:

  • ffuf-scripts:一组用于帮助完成不同FFUF任务和工作流程的脚本。

通过结合这些生态项目,可以进一步扩展FFUF的功能,提高安全测试的效率和效果。

ffufFast web fuzzer written in Go项目地址:https://gitcode.com/gh_mirrors/ff/ffuf

余媛奕Lowell
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网安工具系列(仅供参考):nuclei 的简单使用(一)
weixin_54626591的博客
04-18 797
nuclei 的简单使用(一)
猿如意中的【Parrot-树莓派-5.0 arm64位 】工具框架的介绍详情
m0_57448314的博客
12-21 1069
猿如意是一款面向开发者的辅助开发工具箱,包含了效率工具、开发工具下载,教程文档,代码片段搜索,全网搜索等功能模块。帮助开发者提升开发效率,帮你从“问题”找到“答案”。猿如意页面截图展示Parrot-树莓派-5.0 arm64位是Parrot 5.0 安全操作系统发布,用于道德黑客和渗透测试。Parrot 是一个由开发人员和安全专家组成的全球社区,他们共同构建一个共享的工具框架,使他们的工作更轻松、标准化、更可靠和安全。
Go-ffuf-用Go写的快速网络模糊器
08-13
允许模糊HTTP标头值,POST数据和URL的不同部分,包括GET参数名称和值
Ffuf使用教程
热门推荐
weujie
09-25 1万+
/'___\ /'___\ /'___\ /\ \__/ /\ \__/ __ __ /\ \__/ \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\ \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/ \ \_\ \ \_\ \ \____/ \ \_\ \/_/ \/_/ \/___/ \/_/ 该工具用途广泛,可用于多种用途。一些用途: • 目录发现,可选择在 URL 中的.
渗透测试神器ffuf使用大全(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
07-25 765
此外,Fuff还具备出色的性能表现。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
ffuf的安装与使用
qq_43717836的博客
07-11 1289
在重新做回渗透后,还是第一次做资产收集,用了ffuf,顺便就有了这篇文章。
ffuf命令使用手册
weixin_70099234的博客
03-09 265
d 参数指定我们要发送的数据(如:用户名、电子邮件、密码和 cpassword)-w 参数选择计算机上包含我们要检查的用户名列表是否存在的文件的位置。-X 指定请求方法,默认情况下这是一个 GET 请求。-mr 参数是我们要查找的页面上的文本,以。-u 参数指定我们发出请求的 URL。-H 参数用于向请求添加附加标头。
Skills Assessment - File Inclusion Write Up.pdf
07-21
在这个具体的例子中,我们首先进行了模糊测试(FUZZing),使用`ffuf`工具对网站目录进行了扫描,发现了几个可访问的PHP文件,如`index.php`、`about.php`等。接着,我们尝试通过`page`参数来获取`index.php`的源...
Bug bounty自学笔记1(常用工具)
mengzh620的博客
02-09 505
听说bug bounty 最近很流行 于是想在YouTube上找一些视频自学,记录一些学习笔记。 选择什么样的virtual hosting software VirtualBox 开始不错 但后面要花钱 VMware (60天免费) 扫描工具 为了防止被封IP 选择扫描工具是必须的, 尽量减慢扫描速度 Nmap (Network Mapper) is a network scanner created by Gordon Lyon (also known by his pseudonym
FFUF 项目使用教程
最新发布
gitblog_00124的博客
08-10 418
FFUF 项目使用教程 ffufFast web fuzzer written in Go项目地址:https://gitcode.com/gh_mirrors/ff/ffuf 1. 项目的目录结构及介绍 FFUF(Fuzz Faster U Fool)是一个用Go语言编写的快速Web模糊测试工具。项目的目录结构如下: ffuf/ ├── cmd/ │ └── ffuf/ │ └...
ffuf-scripts:脚本以帮助完成不同的ffuf任务和工作流程
03-22
ffuf有效内容的脚本和代码片段 一组脚本,这些脚本使可以使用不同种类的有效负载。 ffuf_basicauth.sh-HTTP基本身份验证 一个脚本,该脚本在提供的单词列表中生成base64编码的username:password值组合。遍历所有可能的组合。 用法示例 在测试每个HTTP基本身份验证用户名:密码组合,并过滤掉403-禁止响应。 ./ffuf_basicauth.sh usernames.txt passwords.txt |ffuf -w -:AUTH -u https://example.org/endpoint -H "Authorization: Basic AUTH" -fc 403 -c 贡献 我们欢迎任何和所有的贡献。请参阅ffuf_basicauth.sh了解首选脚本头格式,以获取用法示例和作者信息。
fuzz.rar(模糊测试工具)
03-03
Fuzz是世界上第一款Fuzzing工具,也是该技术称之为‘fuzzing’的原因,它是威斯康星大学研究所测试windows程序的工具。该工具利用windows的消息机制向窗口随机的发送数据,试图使得应用程序崩溃。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 813
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
ffuf安装与使用教程
weixin_50464560的博客
12-02 3022
ffuf的安装 go环境安装 需要在kali linux下安装go环境 下载安装包 wget -c https://golang.google.cn/dl/go1.16.2.linux-amd64.tar.gzwget -c https://golang.google.cn/dl/go1.16.2.linux-amd64.tar.gzwget -c https://golang.google.cn/dl/go1.16.2.linux-amd64.tar.gz 进行解压缩 tar -...
[JS识别]fuff使用方法
qq_75224363的博客
03-18 466
ffuf是一个用Go语言编写的快速网络模糊测试工具。
ffuf:Go语言编写的高速Web Fuzzer
systemino的博客
05-25 1708
ffuf是一款Go语言编写的高速Web Fuzzer工具,该项目深受大型项目gobuster和wfuzz的启发。 特性 一个字,快! 允许fuzz HTTP header值,POST数据和URL的不同部分,包括GET数名称和值; 支持静默模式(-s); 模块化架构; 易于添加的过滤器和匹配器。 安装 从releases页面下载预构建的二进制文件,解压缩并运行。 如果你已经安装了编...
Ffuf爆破神器(超详细)
LainWith的博客
12-26 1万+
基于Go语言开发,速度极快,并且跨平台可以颜色高亮输出强大的过滤系统和代理系统能适应多种情景下的模糊测试广受好评,持续更新不能够完整打印出爆破出来的URI路径。user-agent特征明显,不能随机user-agent。
聊聊模糊测试,以及几种模糊测试工具的介绍!
2301_77645750的博客
12-07 1806
以下为作者观点:在当今的数字环境中,漏洞成为攻击者利用系统漏洞的通道,对网络安全构成重大威胁。这些漏洞可能存在于硬件、软件、协议实施或系统安全策略中,允许未经授权的访问并破坏系统的完整性。根据 "常见漏洞与暴露"(Common Vulnerabilities and Exposures,CVE)的跟踪,漏洞披露的激增令人震惊......就连开放源代码软件也未能幸免,据Synopsys的一份报告显示,在1481个受检代码库中,84%的代码库至少包含一个开放源代码漏洞。
使用ffuf对子域枚举和虚拟主机枚举
04-10
下面是对使用ffuf进行子域枚举和虚拟主机枚举的介绍: 1. 子域枚举: - 使用ffuf进行子域枚举时,可以通过指定字典文件来进行爆破,字典文件中包含了可能存在的子域名。 - 命令示例:`ffuf -w subdomains.txt -u ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余媛奕Lowell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值