工具名称:Wfuzz
名称记法:
Wfuzz
W 是 Web翻译 -> 网站
fuzz 翻译-> 模糊
Ubuntu.Debian.下安装
安装命令:
apt-get install wfuzz
Centos下安装:[Centos源中没有Wfuzz]
[Git]工具下载链接: https://github.com/xmendez/wfuzz.git
git clone https://github.com/xmendez/wfuzz.git
wfuzz可以设置一个变量,可以用字典来替换这个变量
用法 1: 目录扫描
wfuzz -c -z file,字典路径 --hc 404 http://www.xxx.com/FUZZ
用法2: 生成1-10列表替换FUZZ
wfuzz -c -z range,1-10 --hc=301 http://www.site.com/FUZZ
用法3:爆破user and pass
wfuzz -c -z file,users.txt -z file,pass.txt --hc 404 http://www.site.com/log.asp?user=FUZZ&pass=FUZ2Z
FUZZ 第一个变量
FUZ*Z *是几就是第几个变量
--hc 过滤状态码
--sc 需要显示的状态码
-c 带颜色显示
-z 设置payload 【比如:字典】
-t 设置线程 默认10
例子:
wfuzz -c -z file,users.txt -z file,pass.txt --sc 200 http://www.site.com/log.asp?user=FUZZ&pass=FUZ2Z
wfuzz -c -z range,1-10 --hc=BBB http://www.site.com/FUZZ
wfuzz --script=robots -z list,robots.txt http://www.webscantest.com/FUZZ
本人原文笔记链接:
图片发自简书App
图片发自简书App
图片发自简书App
https://app.yinxiang.com/shard/s70/nl/17046508/688c33f2-ada4-448b-985c-2ea8fcf2b62a
