Telegram Group & Telegram Channel
Telegram Group » Poland » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram Webview » Post 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/pl/Библиотека хакера | Hacking Infosec ИБ информационная безопасность/com.hackproglib/4239
796 views



tg-me.com/hackproglib/4239
Create:
Last Update:

Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tg-me.com/hackproglib/4239

View MORE
Open in Telegram


Библиотека хакера | Hacking Infosec ИБ информационная безопасность Telegram | DID YOU KNOW?

Date: |

Telegram auto-delete message, expiring invites, and more

elegram is updating its messaging app with options for auto-deleting messages, expiring invite links, and new unlimited groups, the company shared in a blog post. Much like Signal, Telegram received a burst of new users in the confusion over WhatsApp’s privacy policy and now the company is adopting features that were already part of its competitors’ apps, features which offer more security and privacy. Auto-deleting messages were already possible in Telegram’s encrypted Secret Chats, but this new update for iOS and Android adds the option to make messages disappear in any kind of chat. Auto-delete can be enabled inside of chats, and set to delete either 24 hours or seven days after messages are sent. Auto-delete won’t remove every message though; if a message was sent before the feature was turned on, it’ll stick around. Telegram’s competitors have had similar features: WhatsApp introduced a feature in 2020 and Signal has had disappearing messages since at least 2016.

How Does Telegram Make Money?

Telegram is a free app and runs on donations. According to a blog on the telegram: We believe in fast and secure messaging that is also 100% free. Pavel Durov, who shares our vision, supplied Telegram with a generous donation, so we have quite enough money for the time being. If Telegram runs out, we will introduce non-essential paid options to support the infrastructure and finance developer salaries. But making profits will never be an end-goal for Telegram.

Библиотека хакера | Hacking Infosec ИБ информационная безопасность from pl


⭐ Как использовать ffuf для брутфорса скрытых директорий и файловFuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
Webview: 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram Webview
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM USA