Telegram Group & Telegram Channel
Telegram Group » Spain » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram Webview » Post 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/es/Библиотека хакера | Hacking Infosec ИБ информационная безопасность/com.hackproglib/4239
603 views



tg-me.com/hackproglib/4239
Create:
Last Update:

Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tg-me.com/hackproglib/4239

View MORE
Open in Telegram


Библиотека хакера | Hacking Infosec ИБ информационная безопасность Telegram | DID YOU KNOW?

Date: |

However, analysts are positive on the stock now. “We have seen a huge downside movement in the stock due to the central electricity regulatory commission’s (CERC) order that seems to be negative from 2014-15 onwards but we cannot take a linear negative view on the stock and further downside movement on the stock is unlikely. Currently stock is underpriced. Investors can bet on it for a longer horizon," said Vivek Gupta, director research at CapitalVia Global Research.

The STAR Market, as is implied by the name, is heavily geared toward smaller innovative tech companies, in particular those engaged in strategically important fields, such as biopharmaceuticals, 5G technology, semiconductors, and new energy. The STAR Market currently has 340 listed securities. The STAR Market is seen as important for China’s high-tech and emerging industries, providing a space for smaller companies to raise capital in China. This is especially significant for technology companies that may be viewed with suspicion on overseas stock exchanges.

Библиотека хакера | Hacking Infosec ИБ информационная безопасность from es


⭐ Как использовать ffuf для брутфорса скрытых директорий и файловFuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
Webview: 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram Webview
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM USA