📜  VAF – Kali Linux 中的快速和高级 Fuzzer 工具

📅  最后修改于: 2022-05-13 01:57:32.204000             🧑  作者: Mango

VAF – Kali Linux 中的快速和高级 Fuzzer 工具

在本文中,我们将看到 VAF 工具,它用于自动化软件测试技术,包括提供无效、意外或随机数据作为计算机程序的输入并检测错误。

URL Fuzzing 是在目标域服务器上查找隐藏文件和目录的艺术。这些文件和目录可能包含敏感数据和信息,可以揭示应用程序的内部架构。以自动化的方式执行这个模糊测试任务,对于每个渗透测试人员来说都是一个更直接、更省时的过程。 VAF 是用于对目标域中的文件和目录进行模糊测试的计算机化工具。 VAF 工具是开源的,可以免费使用。我们可以通过排除特定状态代码并仅包括文件的基本扩展名(如 . PHP的。

在 Kali Linux 上安装 VAF 工具

第 1 步:打开 Kali Linux 终端并使用以下命令移动到桌面。

cd Desktop

第 2 步:您现在在桌面上使用以下命令创建一个名为 VAF 的新目录。在这个目录中,我们将完成 VAF 工具的安装。

mkdir VAF 

第 3 步:现在使用以下命令切换到 VAF 目录。

cd VAF 

第 4 步:现在您必须安装该工具。您必须从 GitHub 克隆该工具。

git clone https://github.com/d4rckh/vaf.git

第五步:工具已成功下载到VAF目录下。现在使用以下命令列出该工具的内容。

ls

第6步:您可以观察到在我们安装该工具时已经生成了一个新的VAF工具目录。现在使用以下命令移动到该目录:

cd vaf

第 7 步:再次发现该工具的内容,使用以下命令。

ls

第 8 步:使用以下命令运行 Bash 脚本。

./vaf_linux_amd64 -h

在 Kali Linux 上使用 Vaf 工具

示例 1 :简单模糊

在本例中,我们将对目标域 testphp.vulnweb.com 中的文件和目录进行模糊测试。我们在 -u 标记中指定了目标域,并在 -w 标记中指定了可能的文件和目录短语的单词表。

在下面的屏幕截图中,我们得到了结果或目标域服务器上托管的目录和文件。

示例 2 :特定响应代码

在此示例中,我们将使用所有状态代码响应对目录和文件进行模糊测试。我们使用 -sc 标签来使用所有状态码。

在下面的屏幕截图中,我们得到了各种状态码的结果,如 200、404。

示例 3 :特定扩展文件

在本例中,我们将使用特定扩展名(如PHP、HTML)对目录和文件进行模糊测试。我们使用 -sf 标签来指定扩展名。

在下面的屏幕截图中,我们得到的结果只有扩展名为 . PHP的。

示例 4 :打印 URL

在此示例中,我们将显示已识别文件和目录的完整 URL。

在下面的屏幕截图中,我们获得了已识别文件和目录的完整 URL。

在下面的屏幕截图中,我们实际上正在访问包含文件 404. PHP的 URL。