Attacking Web Aplications with Ffuf

PreviousInformation Gathering-Web Edition NextXSS-Scanner.py

Last updated 8 days ago

Attacking Web Aplications with Ffuf

Fuzzing

El fuzzing es una técnica de prueba automatizada utilizada para identificar vulnerabilidades en sistemas y aplicaciones.

ffuf

Ffuf es una herramienta rápida y eficiente para el fuzzing de directorios y archivos ocultos en servidores web.
Se basa en wordlists y parámetros como FUZZ para probar rutas dinámicamente.
Se pueden utilizar filtros y matchers para refinar los resultados.
Hay que tener precaución con los hilos (-t) para evitar afectar la estabilidad del servidor.

Recursive Fuzzing

Permite explorar múltiples subdirectorios de forma automatizada.
Reduce el tiempo necesario para descubrir directorios y archivos ocultos.

Configuración de fuzzing recursivo en Ffuf

recursion → Habilita el escaneo recursivo.
recursion-depth → Define la profundidad máxima de escaneo.
e .php → Especifica extensiones de archivos a buscar.

ffuf -w /opt/useful/seclists/Discovery/Web-Content/directory-list-2.3-small.txt:FUZZ -u http://SERVER_IP:PORT/FUZZ -recursion -recursion-depth 1 -e .php

Explicación:

Escaneará los directorios principales y su primer nivel de subdirectorios.
No escaneará niveles más profundos como /login/user/ a menos que se aumente la profundidad.
Buscará archivos con la extensión .php dentro de los directorios encontrados.

DNS Records

Problema de conexión: Al intentar acceder a academy.htb, el navegador no puede conectarse porque no es un sitio público y no está registrado en el DNS.
Solución: Para conectarse a academy.htb, se debe agregar la IP y el dominio al archivo /etc/hosts usando el comando:

sudo sh -c 'echo "SERVER_IP academy.htb" >> /etc/hosts'

Verificación: Después de agregarlo al archivo /etc/hosts, podemos acceder al sitio web. Sin embargo, se muestra la misma página que al acceder directamente a la IP.
Exploración de subdominios: Se realiza una búsqueda de subdominios bajo '*.academy.htb' para encontrar posibles paneles o áreas de administración.

Vhosts Vs. Sub-Domains

Diferencia entre VHosts y subdominios: Los VHosts son subdominios que se sirven en el mismo servidor y tienen la misma IP, permitiendo que una sola IP sirva múltiples sitios web.
Limitaciones del fuzzing de subdominios: El fuzzing de subdominios solo encuentra subdominios públicos, pero no puede detectar subdominios no públicos o VHosts.
Solución con VHost Fuzzing: Para identificar tanto subdominios públicos como no públicos, se utiliza fuzzing de VHosts en los encabezados HTTP, específicamente en el encabezado Host.
Uso del comando:

ffuf -w /opt/useful/seclists/Discovery/DNS/subdomains-top1million-5000.txt:FUZZ -u http://academy.htb:PUERTO/ -H 'Host: FUZZ.academy.htb'

Esto permite verificar diferentes VHosts sin modificar manualmente /etc/hosts.
Resultado esperado: Aunque todas las pruebas devuelvan un 200 OK, un VHost válido mostrará una respuesta con un tamaño diferente debido a la página específica de ese VHost.

GET Request Fuzzing

Parameter Fuzzing - POST

Tip

Tip: In PHP, "POST" data "content-type" can only accept "application/x-www-form-urlencoded". So, we can set that in "ffuf" with "-H 'Content-Type: application/x-www-form-urlencoded'".

Skills

ffuf -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt:FUZZ -u http://academy.htb:49918/ -H 'Host: FUZZ.academy.htb' -t 200 -fs 985

ffuf -w /usr/share/seclists/Discovery/Web-Content/web-extensions.txt:FUZZ -u http://test.academy.htb:49918/indexFUZZ

ffuf -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt:FUZZ -u http://faculty.academy.htb:49918/FUZZ -e .php,.phps,.php7 -recursion -recursion-depth 1 -fs 287,0

curl http://faculty.academy.htb:49918/courses/linux-security.php7

ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt -u http://faculty.academy.htb:49918/courses/linux-security.php7 -X POST -d 'FUZZ=key' -H 'Content-Type: application/x-www-form-urlencoded' -fs 774

ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt -u http://faculty.academy.htb:49918/courses/linux-security.php7 -X POST -d 'username=FUZZ' -H 'Content-Type: application/x-www-form-urlencoded' -fs 781

ffuf -w /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt:FUZZ -u http://faculty.academy.htb:49918/courses/linux-security.php7 -X POST -d 'username=FUZZ' -H 'Content-Type: application/x-www-form-urlencoded' -fs 781

curl -X POST http://faculty.academy.htb:49918/courses/linux-security.php7 -d "username=harry" -H 'Content-Type: application/x-www-form-urlencoded'

PreviousInformation Gathering-Web Edition NextXSS-Scanner.py

Last updated 8 days ago

Fuzzing

El fuzzing es una técnica de prueba automatizada utilizada para identificar vulnerabilidades en sistemas y aplicaciones.

ffuf

Ffuf es una herramienta rápida y eficiente para el fuzzing de directorios y archivos ocultos en servidores web.
Se basa en wordlists y parámetros como FUZZ para probar rutas dinámicamente.
Se pueden utilizar filtros y matchers para refinar los resultados.
Hay que tener precaución con los hilos (-t) para evitar afectar la estabilidad del servidor.

Recursive Fuzzing

Permite explorar múltiples subdirectorios de forma automatizada.
Reduce el tiempo necesario para descubrir directorios y archivos ocultos.

Configuración de fuzzing recursivo en Ffuf

recursion → Habilita el escaneo recursivo.
recursion-depth → Define la profundidad máxima de escaneo.
e .php → Especifica extensiones de archivos a buscar.

ffuf -w /opt/useful/seclists/Discovery/Web-Content/directory-list-2.3-small.txt:FUZZ -u http://SERVER_IP:PORT/FUZZ -recursion -recursion-depth 1 -e .php

Explicación:

Escaneará los directorios principales y su primer nivel de subdirectorios.
No escaneará niveles más profundos como /login/user/ a menos que se aumente la profundidad.
Buscará archivos con la extensión .php dentro de los directorios encontrados.

DNS Records

Problema de conexión: Al intentar acceder a academy.htb, el navegador no puede conectarse porque no es un sitio público y no está registrado en el DNS.
Solución: Para conectarse a academy.htb, se debe agregar la IP y el dominio al archivo /etc/hosts usando el comando:

sudo sh -c 'echo "SERVER_IP academy.htb" >> /etc/hosts'

Verificación: Después de agregarlo al archivo /etc/hosts, podemos acceder al sitio web. Sin embargo, se muestra la misma página que al acceder directamente a la IP.
Exploración de subdominios: Se realiza una búsqueda de subdominios bajo '*.academy.htb' para encontrar posibles paneles o áreas de administración.

Vhosts Vs. Sub-Domains

Diferencia entre VHosts y subdominios: Los VHosts son subdominios que se sirven en el mismo servidor y tienen la misma IP, permitiendo que una sola IP sirva múltiples sitios web.
Limitaciones del fuzzing de subdominios: El fuzzing de subdominios solo encuentra subdominios públicos, pero no puede detectar subdominios no públicos o VHosts.
Solución con VHost Fuzzing: Para identificar tanto subdominios públicos como no públicos, se utiliza fuzzing de VHosts en los encabezados HTTP, específicamente en el encabezado Host.
Uso del comando:

ffuf -w /opt/useful/seclists/Discovery/DNS/subdomains-top1million-5000.txt:FUZZ -u http://academy.htb:PUERTO/ -H 'Host: FUZZ.academy.htb'

Esto permite verificar diferentes VHosts sin modificar manualmente /etc/hosts.
Resultado esperado: Aunque todas las pruebas devuelvan un 200 OK, un VHost válido mostrará una respuesta con un tamaño diferente debido a la página específica de ese VHost.

GET Request Fuzzing

Parameter Fuzzing - POST

Tip

Tip: In PHP, "POST" data "content-type" can only accept "application/x-www-form-urlencoded". So, we can set that in "ffuf" with "-H 'Content-Type: application/x-www-form-urlencoded'".

Skills

ffuf -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt:FUZZ -u http://academy.htb:49918/ -H 'Host: FUZZ.academy.htb' -t 200 -fs 985

ffuf -w /usr/share/seclists/Discovery/Web-Content/web-extensions.txt:FUZZ -u http://test.academy.htb:49918/indexFUZZ

ffuf -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt:FUZZ -u http://faculty.academy.htb:49918/FUZZ -e .php,.phps,.php7 -recursion -recursion-depth 1 -fs 287,0

curl http://faculty.academy.htb:49918/courses/linux-security.php7

ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt -u http://faculty.academy.htb:49918/courses/linux-security.php7 -X POST -d 'FUZZ=key' -H 'Content-Type: application/x-www-form-urlencoded' -fs 774

ffuf -w /usr/share/seclists/Discovery/Web-Content/burp-parameter-names.txt -u http://faculty.academy.htb:49918/courses/linux-security.php7 -X POST -d 'username=FUZZ' -H 'Content-Type: application/x-www-form-urlencoded' -fs 781

ffuf -w /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt:FUZZ -u http://faculty.academy.htb:49918/courses/linux-security.php7 -X POST -d 'username=FUZZ' -H 'Content-Type: application/x-www-form-urlencoded' -fs 781

curl -X POST http://faculty.academy.htb:49918/courses/linux-security.php7 -d "username=harry" -H 'Content-Type: application/x-www-form-urlencoded'