Rustbuster——一個優秀的web信息fuzz工具集

2021-02-16 靶機狂魔

簡介

綜合了DirBuster,Gobuster,wfuzz,Patator的http_fuzz和IIS短名稱掃描儀的主要功能

優劣對比功能模塊
Directories and FilesA/AAAA DNS EntriesVhost EnumerationCustom Fuzzing8.3 Short NamesDirBuster有
無無無無Gobuster有
有有無無
Wfuzz有
無有有
無Patator無
無無有無IIS Short Name Scanner無
無無無有
Rustbuster有
有有有有模塊介紹1. Directories and Files

rustbuster dir -u http://localhost:3000/ -w examples/wordlist -e php -t 10

2. A/AAAA DNS Entries

該dns模塊可用於發現給定域的子域。它的工作原理是簡單地要求您的默認DNS解析器解析潛在的主機名,並報告成功解析的主機名。

rustbuster dns -d google.com -w examples/wordlist

3. Vhost Enumeration

該vhost模塊可用於枚舉Web伺服器上可用的虛擬主機。它通過使用給定的單詞列表對Host HTTP Header進行模糊處理,並通過檢查-x,--ignore-string響應的HTTP正文中提供的參數的存在來過濾結果來進行工作。

rustbuster vhost -u http://localhost:3000/ -w examples/wordlist -d test.local -x "Hello"

4. Custom Fuzzing

fuzz當需要更靈活的模糊模式時,可以使用該模塊。您可以定義注入點和每個注入點的單詞表。將生成請求的cartesian product。還支持CSRF令牌!在下面的示例中,我們將強制執行一個登錄表單,該表單需要為每個請求使用不同的CSRF令牌,可以通過應用RegEx提取該令牌。

rustbuster fuzz -u http:    -X POST \    -H "Content-Type: application/json" \    -b '{"user":"FUZZ","password":"FUZZ","csrf":"CSRFCSRF"}' \    -w examples/wordlist \    -w /usr/share/seclists/Passwords/Common-Credentials/10-million-password-list-top-10000.txt \    -s 200 \    --csrf-url "http://localhost:3000/csrf" \    --csrf-regex '\{"csrf":"(\w+)"\}'
5. IIS 8.3 shortname enumeration mode
該模塊可用於利用與Microsoft IIS和DOS 8.3文件名有關的已知信息洩露問題,從而可以輕鬆枚舉伺服器端文件系統結構。
rustbuster tilde -u http://localhost:3000/ -e aspx -X OPTIONS

相關焦點

  • 信息收集&Fuzz
    提取[檢查是否有任何域指向脆弱的第三方服務,我們可以使用這些信息進行子域接管]•域/子域版本和技術檢測[映射下一個漏洞掃描步驟]•敏感信息發現[利用搜尋引擎查找目標敏感性息]Whois查詢通過網站註冊人信息,檢查註冊人註冊的其他網站(對註冊人郵箱,電話進行反查),對目標網站進行深入調查。
  • 目錄掃描神器 - DirBuster(附下載)
    2021的第一天!
  • 白帽子黑客教你:如何使用Dirbuster網站目錄掃描神器?
    隨後browse選擇字典文件,可用自己的,也可用dirbuster自己的。 ⑤:selectstartingoptions選項一個是standardstartpoint(固定標準的名字去搜),一個是urlfuzz(相當於按關鍵字模糊搜索),選擇urlfuzz,隨後在urltofuzz框中輸入{dir}即可。 配置好後點擊start開始即可。
  • WEB目錄掃描工具Dirbuster入門
    0x00 簡介      Dirbuster是Owasp(開放Web軟體安全項目- Open Web Application Security Project )開發的一款專門用於探測Web伺服器的目錄和隱藏文件;該工具提供GUI和終端兩種形式,支持多種掃描方式。
  • dirmap - 一個高級web目錄、文件掃描工具
    Dirmap  一個高級web目錄掃描工具,功能將會強於DirBuster、Dirsearch、cansina、御劍需求分析經過大量調研,總結一個優秀的web目錄掃描工具至少具備以下功能:  並發引擎  能使用字典  能純爆破  能爬取頁面動態生成字典  能fuzz掃描  自定義請求  自定義響應結果處理...
  • 【Rust日報】 2020-01-21 rweb: 又一個Rust的 web 伺服器框架
    rweb: 又一個Rust的 web 伺服器框架注意: 這不是一個穩定的版本.
  • 【Rust日報】2019-09-06:文字RPG
    參考ElmRead moreTexture Synthesis 材質合成補完的庫 來自 embark.games這個團隊使用rust來開發各種功能,且用UE4開發他們的場景Demo, 非常厲害的團隊。Read more github youtubeFuzzcheck 針對Rust功能的覆蓋率提升工具給定函數 Test:(T) - > Bool,它會試圖找到一個回傳false或導致崩潰的T類型的值。
  • 官方 RustConf 2021 盤點
    分享者 Hugo 製作了一套 口袋妖怪TCG庫存數位化的工具,可以通過計算機視覺來識別 口袋妖怪的卡片。他將這個過程中的經驗以及計算機視覺相關領域的算法做了一個分享。這也是一個輕 talk 。接下來 Midas 編寫一個 JSON Patch Squasher 工具為例,展示了如何使用這六個步驟進行 fuzz 驅動開發。
  • Kali Linux Web滲透測試手冊(第二版) - 3.1 - 使用DirBuster尋找敏感文件和目錄
    黑盒是指測試團隊除了伺服器的URL外,沒有關於要測試的應用程式的任何以前的信息;白盒表示團隊擁有目標、基礎架構、軟體版本、測試用戶、開發信息等所有信息;灰色盒子是中間的一個點。對於黑盒方法和灰盒方法,正如我們在上一章中看到的那樣,偵察階段對於測試團隊發現應用程式所有者可以在白盒方法中提供的信息是必要的。
  • 前端高性能計算(3):Rust -> asm.js & webassembly
    安裝Rust的管理工具rustuprustup用於安裝管理Rust的相關工具,包括編譯器rustc、包管理工具cargo等,支持安裝不同版本比如stable, beta, nightly等以及在不同版本之間切換,類似於nvm。
  • Fuzz技術綜述與文件Fuzz
    異常檢測模塊負責監控程序在處理測試用例時是否發生異常,如果發生了異常就保存異常信息。Fuzz工具按照生成測試數據的方式可以分為基於生成的Fuzz工具(Generation Based Fuzzer)和基於變異的Fuzz工具(Mutation Based Fuzzer)。
  • dirmap信息收集工具
    ----  網易雲熱評一個高級web目錄掃描工具,功能將會強於DirBuster、Dirsearch、cansina、御劍一、下載地址https://github.com/H4ckForJob/dirmap二、安裝過程1、複製到本地安裝包git clone https://github.com/H4ckForJob
  • Rust 中調用 GitHub Web API - Rust Cookbook 中文版
    我們使用 Rust 語言及其相關 crate,對 github web api 進行調用,通過從查詢 GitHub API、檢查 API 資源是否存在、使用 GitHub API 創建和刪除 Gist、使用 RESTful API 分頁、處理速率受限 API 等幾個實例來做一個展示。
  • PTFuzzer:一個基於硬體加速的二進位程序Fuzz工具
    簡介PTFuzzer是基於AFL框架實現的一款開源fuzz工具,它採用了Intel Processor Trace硬體部件來收集程序執行的路徑信息
  • 【工具貼】網絡安全從業人員工具集
    sec-wiki安全維基百科She Is My Sin Nightwish - Wishmasterfuzz工具收集:https://github.com/ivanfratric/winaflhttps://github.com/attekett/NodeFuzzhttps://github.com/google/oss-fuzzhttp://blog.topsec.com.cn
  • 網絡安全從業人員工具集
    sec-wiki安全維基百科She Is My Sin Nightwish - Wishmasterfuzz工具收集https://github.com/ivanfratric/winaflhttps://github.com/attekett/NodeFuzzhttps://github.com/google/oss-fuzzhttp://blog.topsec.com.cn
  • IoT 設備固件分析之網絡協議 fuzz
    常見工具與方法的對應關係如下。4、實用工具:獨立的命令行工具,完成一些其他的功能其中,數據生成和會話管理/驅動是比較重要的2個模塊。對於數據生成模塊,Boofuzz框架提供了很多原語來定義請求,如最基礎的s_string()、s_byte()、s_static()等。
  • 2021Kali系列 -- 目錄掃描(Dirbuster)
    該工具使用Java語言編寫,提供命令行(Headless)和圖形界面(GUI)兩種模式。其中,圖形界面模式功能更為強大。用戶不僅可以指定純暴力掃描的字符規則,還可以設置以URL模糊方式構建網頁路徑。同時,用戶還對網頁解析方式進行各種定製,提高網址解析效率。
  • 使用 Prometheus 和 Grafana 監控 Rust Web 應用程式
    (實際上,它收集有關方案中所有 Docker 容器的信息要一次啟動所有工具,你可以使用以下命令:清單 1.它將所有連接的(使用sse function[18])客戶端存儲在一個向量中,並定期 ping 每個客戶端(在remove_stale_clients function 中[19])以確保連接仍然有效,否則從向量中刪除斷開連接的客戶端。廣播器只允許打開一個 Redis Pub/Sub 連接[20];來自它的消息被發送(廣播)到所有客戶端。
  • CRLFuzz:一款基於Go的CRLF漏洞快速掃描工具
    :▶ GO111MODULE=on go get -v github.com/dwisiswant0/crlfuzz/cmd/crlfuzz如需更新工具,你可以使用-u參數來運行go get命令。▶ mv crlfuzz /usr/local/bin工具使用基礎使用該工具的使用也非常簡單,我們可以直接運行下列工具來掃描CRLF漏洞:▶ crlfuzz -u "http://target"參數選項▶ crlfuzz -h上述命令將會顯示工具的幫助命令,下面是該工具支持的所有參數選項: