赞
踩
声明:该系列文章首发于公众号:Y1X1n安全,转载请注明出处!本公众号所分享内容仅用于每一个爱好者之间的技术讨论及教育目的,所有渗透及工具的使用都需获取授权,禁止用于违法途径,否则需自行承担,本公众号及作者不承担相应的后果。
Packer-Fuzzer是一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具。
支持自动模糊提取对应目标站点的API以及API对应的参数内容,并支持对:未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测。
开发原因:
在日常渗透测试、安全服务中是否遇到越来越多以Webpack打包器为代表的网站?这类打包器会将整站的API和API参数打包在一起供Web集中调用,这也便于我们快速发现网站的功能和API清单,但往往这些打包器所生成的JS文件数量异常之多并且总JS代码量异常庞大(多达上万行),这给我们的手工测试带来了极大的不便 。
常用命令
python3 PackerFuzzer.py -u https://target.com -t adv -p http://127.0.0.1:8083 -f 1 -r html
# 高级版模式、yakit代理、忽略自签名CA证书
python3 PackerFuzzer.py -u https://www.vulnhub.com -j https://www.vulnhub.com/js/index.js,https://www.vulnhub.com/static/js/cookieAlert.js
# 附加JS进行额外分析
python3 PackerFuzzer.py -u https://www.vulnhub.com -b v1
#指定baseurl
参数详解
python3 PackerFuzzer.py -u https://target.com
# --url
python3 PackerFuzzer.py -c "POC=666;SIR=233" -u https://target.com
# --cookie,附加cookie内容
python3 PackerFuzzer.py -d "Token:3VHJ32HF0"
# --head,附加HTTP头
python3 PackerFuzzer.py -l zh
# --lang,默认中文
python3 PackerFuzzer.py -t adv
# --type,为空则为基础班,adv则为高级版,会进行:SQL注入漏洞、水平越权漏洞、弱口令漏洞、任意文件上传漏洞的检测
python3 PackerFuzzer.py -p https://hack.cool:8080
# --proxy,全局代理,
python3 PackerFuzzer.py -j https://demo.poc-sir.com/js/index.js,https://demo.poc-sir.com/js/vue.js
# --js,附加JS进行额外分析
python3 PackerFuzzer.py -b v1_api
# --base,baseurl这里建议通过观察手动指定来提高API拼接成功率
python3 PackerFuzzer.py -r html
# --report
python3 PackerFuzzer.py -e on
# --ext 开启插件
python3 PackerFuzzer.py -f 1
# --flag,SSL连接安全选项,当为空时默认关闭状态,在此状态下将会阻止一切不安全的连接。若您希望忽略SSL安全状态,您可使用1命令开启,将会忽略一切证书错误,例如:-f 1;
python3 PackerFuzzer.py -s Scan_Task_777
# --silent,静默选项,一旦开启则一切询问YES或NO的操作都将自动设置为YES,并且参数后的内容便是本次扫描报告的名称(自定义报告名),可用于无人值守、批量操作、插件调用等模式
python3 PackerFuzzer.py --st POST
# --sendtype,请求方式选项,目前本选项支持POST和GET参数,一旦开启则将会使用对应的请求方式扫描所有的API,若不开启将会通过HTTP状态码来进行智能请求。
python3 PackerFuzzer.py --ct
# --contenttype,可通过此选项自定义扫描时的HTTP请求头中的Content-Type参数内容,若不开启将会通过HTTP状态码来进行智能请求。
python3 PackerFuzzer.py --pd
# --postdata,POST内容选项,可通过此选项自定义扫描时的POST请求内容(所有的扫描都将会使用此内容,仅对POST场景有效),若不开启将会通过HTTP状态码来进行智能请求。
python3 PackerFuzzer.py --ah
#--apihost,Api域名选项,可通过此选项自定义扫描时所有的API请求域名,例如:api部分(从JS中提取到的API路径)为/v1/info,扫描的url(-u --url参数传入内容,扫描的网页)为http://exp.com/,当apihost参数传入https://pocsir.com:777/则此时的API为https://pocsir.com:777/v1/info而不是http://exp.com/v1/info,用于api与前端不同域名或服务器等场景。
支持生成交互式报告、正式报告两类报告,四种格式:HTML、DOC、PDF、TXT,在默认情况下将会生成HTML报告及DOC报告。推荐HTML格式,较为灵活。
参考:
[https://github.com/rtcatc/Packer-Fuzzer](https://github.com/rtcatc/Packer-Fuzzer)
https://mp.weixin.qq.com/s/0YDXUbJuKue01H9w35xf-A
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。