HACKPROGLIB Telegram 4239
tgoop.com » United States » Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram web » Post 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tgoop.com/hackproglib/4239
761 views



tgoop.com/hackproglib/4239
Create:
Last Update:

Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст

BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность




Share with your friend now:
tgoop.com/hackproglib/4239

View MORE
Open in Telegram


Telegram News

Date: |

The group also hosted discussions on committing arson, Judge Hui said, including setting roadblocks on fire, hurling petrol bombs at police stations and teaching people to make such weapons. The conversation linked to arson went on for two to three months, Hui said. Invite up to 200 users from your contacts to join your channel In handing down the sentence yesterday, deputy judge Peter Hui Shiu-keung of the district court said that even if Ng did not post the messages, he cannot shirk responsibility as the owner and administrator of such a big group for allowing these messages that incite illegal behaviors to exist. Telegram offers a powerful toolset that allows businesses to create and manage channels, groups, and bots to broadcast messages, engage in conversations, and offer reliable customer support via bots. bank east asia october 20 kowloon
from us


⭐ Как использовать ffuf для брутфорса скрытых директорий и файлов

 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность TG
web: 4239
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность.Telegram web
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность Telegram TG Channel
Telegram Updated:
Telegram Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
FROM American