22 Май 2021
DotDotPwn — Directory Traversal фаззер.
Это очень гибкий интеллектуальный фаззер, позволяющий обнаруживать уязвимости Directory Traversal в программном обеспечении, таком как серверы HTTP / FTP / TFTP, веб-платформы, такие как CMS, ERP, блоги и т. Д.
Кроме того, он имеет независимый от протокола модуль для отправки желаемой полезной нагрузки на указанный хост и порт. С другой стороны, он также может быть использован в сценарии с использованием модуля STDOUT.
Он написан на языке программирования Perl и может работать на платформах OS X, * NIX или Windows.
Модули фаззинга, поддерживаемые в этой версии:
- HTTP
- HTTP URL
- FTP
- TFTP
- Payload (не зависит от протокола)
- STDOUT
Зависимости
- Perl (http://www.perl.org) Programmed and tested on Perl 5.8.8 and 5.10
- Nmap (http://www.nmap.org) Only if you plan to use the OS detection feature (needs root privileges)
Perl modules:
- Net::FTP
- TFTP (only required if fuzzing TFTP)
- Time::HiRes
- Socket
- IO::Socket
- Getopt::Std
Установка
git clone https://github.com/wireghoul/dotdotpwn.git
Запуск утилиты
./dotdotpwn.pl
Пример использования
Используем модуль сканирования HTTP (-m http) для хоста (-h 192.168.0.122), используя метод GET (-M GET):
./dotdotpwn.pl -m http -h 192.168.0.122 -M GET
От автора
