Telegram Group & Telegram Channel
Telegram Group » Brazil » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram Webview » Post 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/br/Библиотека хакера | Hacking Infosec ИБ информационная безопасность/com.hackproglib/4239
601 views



tg-me.com/hackproglib/4239
Create:
Last Update:

Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tg-me.com/hackproglib/4239

View MORE
Open in Telegram


Библиотека хакера | Hacking Infosec ИБ информационная безопасность Telegram | DID YOU KNOW?

Date: |

Pinterest (PINS) Stock Sinks As Market Gains

Pinterest (PINS) closed at $71.75 in the latest trading session, marking a -0.18% move from the prior day. This change lagged the S&P 500's daily gain of 0.1%. Meanwhile, the Dow gained 0.9%, and the Nasdaq, a tech-heavy index, lost 0.59%. Heading into today, shares of the digital pinboard and shopping tool company had lost 17.41% over the past month, lagging the Computer and Technology sector's loss of 5.38% and the S&P 500's gain of 0.71% in that time. Investors will be hoping for strength from PINS as it approaches its next earnings release. The company is expected to report EPS of $0.07, up 170% from the prior-year quarter. Our most recent consensus estimate is calling for quarterly revenue of $467.87 million, up 72.05% from the year-ago period.

To pay the bills, Mr. Durov is issuing investors $1 billion to $1.5 billion of company debt, with the promise of discounted equity if the company eventually goes public, the people briefed on the plans said. He has also announced plans to start selling ads in public Telegram channels as soon as later this year, as well as offering other premium services for businesses and users.

Библиотека хакера | Hacking Infosec ИБ информационная безопасность from br


⭐ Как использовать ffuf для брутфорса скрытых директорий и файловFuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
Webview: 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram Webview
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM USA