關于pFuzz
pFuzz是一款功能強大的Web應用程式防火墻安全檢測/繞過工具,可以幫助廣大研究人員同時通過多種方式繞過目標Web應用程式防火墻,以測驗WAF的安全性,
pFuzz本質上是一款高級紅隊模糊測驗工具,主要用于研究目的,pFuzz基于Python編程語言開發,可以幫助廣大研究人員在Web應用程式安全研究方面提供高級模糊測驗能力,該工具采用模塊化結構開發,因此我們可以快速向pFuzz添加新的功能模塊或繞過方法,并對其他WAF進行測驗,除了模塊化結構之外,pFuzz還使用了多執行緒、多處理和佇列結構,使工具更加靈活,并為未來的開發奠定了強大而穩定的基礎設施,
私信回復“資料”獲取安全工具級資料
工具機制流程
支持繞過的Web應用防火墻
FortiWeb
Cloudflare
Sucuri
Akamai
Imperva
F5 WAF
依賴組件
cffi==1.14.3
cryptography==3.1.1
numpy==1.19.2
pandas==1.1.3
pycparser==2.20
pyOpenSSL==19.1.0
python-dateutil==2.8.1
pytz==2020.1
six==1.15.0
xlrd==1.2.0
工具安裝和使用
sudo pip3 install virtualenv
python3 -m venv myvenv
source myvenv/bin/activate
pip3 install -r requirements.txt
python3 pfuzz.py --help
使用樣例
查看幫助資訊
python3 pfuzz.py --help
修改Header模塊
python3 pfuzz.py -r request.txt -m
字符模糊測驗模塊
python3 pfuzz.py -r request.txt -cf
模糊測驗模塊
python3 pfuzz.py -r request.txt -f
添加代理
python3 pfuzz.py -r request.txt -f --proxy 127.0.0.1:8080
在請求間添加延遲間隔
python3 pfuzz.py -r request.txt -f -d 3
啟用TLS/SSL連接
python3 pfuzz.py -r request.txt -f -s
啟用日志
python3 pfuzz.py -r request.txt -f -l
啟用Payload編碼/完整編碼
python3 pfuzz.py -r request.txt -f -e
python3 pfuzz.py -r request.txt -f -fe
設定多執行緒
python3 pfuzz.py -r request.txt -f -t 5
將結果輸出至終端視窗
python3 pfuzz.py -r request.txt -f -o terminal
python3 pfuzz.py -r request.txt -f -od terminal
將結果輸出至檔案
python3 pfuzz.py -r request.txt -f -o ~/Desktop/
python3 pfuzz.py -r request.txt -f -od ~/tmp/
工具幫助
_____
_ __ | ___|_ _ ____ ____
| '_ \ | |_ | | | ||_ /|_ /
| |_) || _| | |_| | / / / /
| .__/ |_| \__,_|/___|/___|
|_|
------------------------------------
@EmreOvunc | @merttasci | @xsuperbug
------------------------------------
v0.2.4
------------------------------------
usage: pfuzz.py [-h] [--request REQUEST] [--proxy PROXY] [--log] [--ssl]
[--threads THREADS] [--output OUTPUT] [--delay TIME]
[--output-details OUTPUT] [--full-encode] [--encode]
[--fuzz] [--charfuzz] [--manipulate] [--version]
optional arguments:
--help/-h 顯示幫助資訊并退出
--proxy/-p PROXY 設定代理[IP:PORT]
--log/-l 啟用日志
--ssl/-s 啟用
--threads/-t NUMBER 多執行緒數量[默認=1]
--version/-v 顯示程式版本資訊并退出
[Request Options]:
--request/-r REQUEST 請求檔案
--delay/-d TIME 請求之間的延遲間隔[默認=0.05]
--encode/-e 編碼URI/Body中的空格字符
--full-encode/-fe 編碼URI/Body中的所有字符
[Output Options]:
--output/-o OUTPUT 輸出重要資訊[終端/檔案夾名稱]
--output-details/-od OUTPUT
輸出所有詳細資訊[終端/檔案夾名稱]
[Modules]:
--fuzz/-f 運行模糊測驗模塊
--charfuzz/-cf 運行字符模糊測驗模塊
--manipulate/-m 運行Header篡改模塊
Usage: python3 pfuzz.py -r req.txt --log -s --fuzz -d 1 --encode -o terminal --threads 2
Usage: python3 pfuzz.py -r req.txt -f -l --proxy 127.0.0.1:8080 --output-details ~/output
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/390577.html
標籤:其他