packer-fuzzer使用

于 2024-09-17 17:57:41 发布
阅读量129 收藏
点赞数
分类专栏: 工具使用 文章标签: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kjssy/article/details/142316884
版权

1. 常用命令

python3 PackerFuzzer.py -u https://target.com -t adv -p http://127.0.0.1:8083 -f 1 -r html
# 高级版模式、yakit代理、忽略自签名CA证书
python3 PackerFuzzer.py -u https://www.vulnhub.com -j https://www.vulnhub.com/js/index.js,https://www.vulnhub.com/static/js/cookieAlert.js
# 附加JS进行额外分析
python3 PackerFuzzer.py -u https://www.vulnhub.com -b v1
#指定baseurl

2.参数解释

python3 PackerFuzzer.py -u https://target.com
# --url
python3 PackerFuzzer.py -c "cookie" -u https://target.com
# --cookie,附加cookie内容
python3 PackerFuzzer.py -d "Token:3VHJ32HF0"
# --head,附加HTTP头
python3 PackerFuzzer.py -l zh
# --lang,默认中文
python3 PackerFuzzer.py -t adv
# --type,为空则为基础班,adv则为高级版,会进行:SQL注入漏洞、水平越权漏洞、弱口令漏洞、任意文件上传漏洞的检测
python3 PackerFuzzer.py -p https://hack.cool:8080
# --proxy,全局代理,
python3 PackerFuzzer.py -j https://demo.poc-sir.com/js/index.js,https://demo.poc-sir.com/js/vue.js
# --js,附加JS进行额外分析
python3 PackerFuzzer.py -b v1_api
# --base,baseurl这里建议通过观察手动指定来提高API拼接成功率
python3 PackerFuzzer.py -r html
# --report,指定生成报告的类型
python3 PackerFuzzer.py -e on
# --ext 开启插件
python3 PackerFuzzer.py -f 1
# --flag,SSL连接安全选项,当为空时默认关闭状态,在此状态下将会阻止一切不安全的连接。若您希望忽略SSL安全状态,您可使用1命令开启,将会忽略一切证书错误,例如:-f 1;
python3 PackerFuzzer.py -s Scan_Task_777
# --silent,静默选项,一旦开启则一切询问YES或NO的操作都将自动设置为YES,并且参数后的内容便是本次扫描报告的名称(自定义报告名),可用于无人值守、批量操作、插件调用等模式
python3 PackerFuzzer.py --st POST
# --sendtype,请求方式选项,目前本选项支持POST和GET参数,一旦开启则将会使用对应的请求方式扫描所有的API,若不开启将会通过HTTP状态码来进行智能请求。
python3 PackerFuzzer.py --ct
# --contenttype,可通过此选项自定义扫描时的HTTP请求头中的Content-Type参数内容,若不开启将会通过HTTP状态码来进行智能请求。
python3 PackerFuzzer.py --pd 
# --postdata,POST内容选项,可通过此选项自定义扫描时的POST请求内容(所有的扫描都将会使用此内容,仅对POST场景有效),若不开启将会通过HTTP状态码来进行智能请求。
python3 PackerFuzzer.py --ah
#--apihost,Api域名选项,可通过此选项自定义扫描时所有的API请求域名,例如:api部分(从JS中提取到的API路径)为/v1/info,扫描的url(-u --url参数传入内容,扫描的网页)为http://exp.com/,当apihost参数传入https://pocsir.com:777/则此时的API为https://pocsir.com:777/v1/info而不是http://exp.com/v1/info,用于api与前端不同域名或服务器等场景。

高级模式可以扫描漏洞

参考链接:
https://blog.csdn.net/qq_40638006/article/details/132135080

aliex23
关注
专栏目录
Packer-Fuzzer使用
m0_71366428的博客
12-18 2725
在平常渗透测试时经常会遇见使用Webpack打包的网站,打包器会将整站的API和API参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便,Packer Fuzzer软件应运而生。
Packer-Fuzzer 开源项目教程
gitblog_00990的博客
08-08 783
Packer-Fuzzer 开源项目教程 Packer-FuzzerPacker Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack. 项目地址:https://gitcode.com/g...
Packer-Fuzzer:自动化API模糊提取与漏洞检测
lwwzyy
08-06 3607
Packer-Fuzzer快速提取网站JS和API,并对未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测
Packer-Fuzzer一款好用的前端高效安全扫描工具
06-27 1384
Packer Fuzzer是一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具
Packer-Fuzzer软件安装初始python相关库的问题:No module named ‘node_vm2‘&&cannot import name ‘OxmlElement‘ from ‘d
wushangyu32335的博客
01-13 2053
Packer-Fuzzer软件安装初始python相关库的问题 vm2被弃用问题:由于开代理网络无法连通 python-docx新版本问题cannot import name 'OxmlElement' from 'docx.oxml.xmlchemy’:新版本移动OxmlElement文件造成找不到
推荐开源项目:Packer Fuzzer - 深度安全测试利器
gitblog_00018的博客
03-23 511
推荐开源项目:Packer Fuzzer - 深度安全测试利器 Packer-FuzzerPacker Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack. 项目地址:https://gi...
PackerFuzzer使用说明
weixin_48681808的博客
07-16 1113
例如:python PackerFuzzer.py(点py为文件名) -u www.xxx.com。一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。python PackerFuzzer.py -u 网页地址。针对JS框架开发打包器Webpack检测。运行命令 在目录下运行cmd。
可对前端打包器所构建的网站进行一键扫描的Packer Fuzzer
m0_46699477的博客
12-10 4089
前言:Packer Fuzzer是一款对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。当我们在Goby中遇到前端打包器所生成的站点时,联动Packer Fuzzer可以自动解析全部JS文件并提取该站点所有API及API参数,从而进行高效漏洞模糊检测。 0x001 最终效果 1.1 插件入口 安装完Packer Fuzzer Goby插件之后,可以在Web检测(Webfinder)的显示框内右侧看到一排“Packer Fuzzer”按钮: 若对应开发端口资产类型为网页,也可以.
信息收集(七)之敏感信息搜索
不秃头的程序Yang
05-14 1070
一、GitHub搜索 1、github 1、in:name huawei #仓库标题搜索含有关键字 2、in:descripton test #仓库描述搜索含有关键字 3、in:readme test #Readme文件搜素含有关键字 2、google 1、site:Github.com sa password 2、site:Github.com root password 3、site:Github.com User ID='sa';Password 4、site:Github.com inu
Packer-FuzzerPacker Fuzzer是一种快速高效的扫描程序,用于对由JavaScript模块捆绑器(例如Webpack)构建的网站进行安全检测
02-06
由于传播,利用Packer Fuzzer工具(下简称本工具)提供的检测功能而造成的任何直接或间接的后果及损失,均由使用者本人负责,Packer Fuzzer开发团队(下简称本团队)不承担责任任何责任。 本工具会根据使用者检测...
一款针对webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具.txt
04-22
- **开发阶段**:在前端项目开发过程中,使用Packer-Fuzzer 对代码进行定期扫描,及时发现并修复潜在的安全隐患。 - **发布前测试**:在应用程序发布前进行全面的安全测试,确保不会因为已知的安全漏洞而遭受攻击。 ...
可进行Web漏洞扫描和验证的Vulmap
weixin_sjk6070的博客
12-20 356
前言: 要问我Goby怎么样,我会坚定回答你“最强实时网络空间测绘,没有之一” 。初次发现Goby还是来自于同事@hq404的推荐,看完第一反应,真漂亮,我馋了,我要xxxxxx。其Logo和UI做的相当棒,当然不仅拥有华丽的外表,更让我深爱又离不开的即最强实时网络空间测绘,如官方定位一样快速、专业、深入、全面,导致我现在每个项目或是测试工作都是先来Goby跑一波。但是正如上述所说Goby目前着重于资产测绘,而漏洞扫描相关的PoC数量还处于堆砌阶段,又看到Goby的插件市场越来越完善,故打算把Vulmap也
各种函数声明和定义模块
最新发布
09-16
各种函数声明和定义模块
湖北工业大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
1805.06605v2 DEFENSE-GAN.pdf
09-16
1805.06605v2 DEFENSE-GAN.pdf
【语音去噪】FIR和IIR低通+带通+高通语音信号滤波(含时域频域分析)【含Matlab源码 4943期】.mp4
09-16
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 语音处理系列程序定制或科研合作方向:语音隐藏、语音压缩、语音识别、语音去噪、语音评价、语音加密、语音合成、语音分析、语音分离、语音处理、语音编码、音乐检索、特征提取、声源定位、情感识别、语音采集播放变速等;
java-ssm+jsp幼儿园管理系统实现源码(项目源码-说明文档)
09-16
管理员成功登录后台管理界面,选择“教师管理”,出现教师列表。在教师管理页面,管理员可以添加、修改、查询及删除教师信息。 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:ssm 前端技术:jsp 关键技术:jsp、spring、ssm、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
hadoop_3_2_0-yarn-resourcemanager-3.3.4-1.el7.x86_64.rpm
09-16
Ambari+Bigtop 一站式编译和部署解决方案 https://gitee.com/tt-bigdata/ambari-env
packer-ubuntu
07-28
你可以使用Packer来创建一个基于Ubuntu的机器映像。通过定义一个Packer模板,你可以指定要使用的操作系统、软件包和配置。以下是一个示例的Packer模板,用于创建一个Ubuntu 20.04的机器映像: ```json { "builders": [ { "type": "qemu", "accelerator": "kvm", "iso_url": "https://releases.ubuntu.com/20.04/ubuntu-20.04.3-live-server-amd64.iso", "iso_checksum": "sha256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "iso_checksum_type": "sha256", "boot_wait": "5s", "ssh_username": "ubuntu", "ssh_password": "ubuntu", "ssh_port": 22, "ssh_wait_timeout": "10m", "format": "qcow2", "output_directory": "output-qemu", "disk_size": 10000 } ], "provisioners": [ { "type": "shell", "inline": [ "echo 'provisioning script'" ] } ] } ``` 在这个示例中,我们使用qemu builder来创建一个基于QEMU虚拟化的机器映像。我们指定了Ubuntu 20.04的ISO镜像地址和校验和,以及SSH连接所需的用户名和密码。在`provisioners`部分,你可以添加一些自定义的脚本或命令来进行进一步的配置。 请注意替换`iso_url`中的URL和`iso_checksum`中的校验和为你所需的Ubuntu版本的实际值。 完成配置后,你可以运行以下命令来生成机器映像: ``` $ packer build ubuntu.json ``` 这将启动Packer创建一个基于Ubuntu的机器映像。生成的机器映像将保存在`output-qemu`目录下。 这只是一个简单的示例,你可以根据自己的需求进行更复杂的配置和定制。更多关于Packer的信息可以在Packer官方文档中找到。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值