- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की आवश्यकता है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।**
> WFuzz को वेब एप्लिकेशनों की मूल्यांकन में कार्य को सुगम बनाने के लिए बनाया गया है और यह एक सरल अवधारणा पर आधारित है: यह एक दिए गए payload के मान के साथ FUZZ कीवर्ड के किसी भी संदर्भ को प्रतिस्थापित करता है।
The `wfuzz` tool provides several options for displaying the output of the scan. These options can be used to customize the format and level of detail in the results.
### `-o` or `--output`
This option allows you to specify the output file where the results will be saved. You can provide a filename or a path to save the file in a specific directory. For example:
```
wfuzz -o /path/to/output.txt
```
### `-f` or `--format`
The `--format` option allows you to specify the format of the output. By default, the tool uses the `plain` format, which displays the results in a simple and readable format. However, you can choose from other formats such as `json`, `xml`, `csv`, `html`, and `markdown`. For example:
The `--columns` option allows you to specify the columns to be displayed in the output. You can choose from a list of available columns such as `url`, `status`, `length`, `words`, `lines`, `time`, `size`, `redirect`, `cookies`, `headers`, `body`, `error`, `match`, `words_found`, `lines_found`, `time_total`, `size_total`, `redirect_total`, `cookies_total`, `headers_total`, `body_total`, `error_total`, `match_total`. For example:
The `--separator` option allows you to specify the separator character used in the output. By default, the tool uses a comma (`,`) as the separator. However, you can choose a different character such as a tab (`\t`) or a pipe (`|`). For example:
```
wfuzz -o /path/to/output.txt -s "|"
```
These output options provide flexibility in customizing the format and content of the scan results according to your needs.
- **URL Encoding**: This encoding technique replaces special characters with their corresponding URL-encoded representation. For example, the space character is replaced with "%20".
- **HTML Encoding**: HTML encoding replaces special characters with their corresponding HTML entity codes. For example, the less than symbol "<" is replaced with "<".
- **Base64 Encoding**: Base64 encoding converts binary data into a string of ASCII characters. This encoding is commonly used for transmitting binary data over text-based protocols.
- **Hex Encoding**: Hex encoding converts each byte of data into its hexadecimal representation. This encoding is often used for obfuscation purposes.
- **Unicode Encoding**: Unicode encoding represents characters using their Unicode code points. This encoding is useful for handling non-ASCII characters.
- **UTF-8 Encoding**: UTF-8 encoding is a variable-length encoding scheme that can represent any Unicode character. It is widely used for encoding text in web applications.
- **Double URL Encoding**: Double URL encoding applies URL encoding twice to a string. This can be used to bypass certain security filters that only decode the string once.
- **Mixed Encoding**: Mixed encoding combines multiple encoding techniques to obfuscate data. This can make it more difficult for security controls to detect and decode the encoded data.
- **Custom Encoding**: Custom encoding techniques can be created to suit specific requirements. These techniques may involve manipulating the data in unique ways to achieve desired results.
Choose the appropriate encoding technique based on the specific scenario and the target application's behavior.
यह एक वेब अनुरोध टेस्टिंग टूल है जिसका उपयोग पथ पैरामीटर्स को ब्रूटफोर्स करने के लिए किया जाता है। यह टूल वेब ऐप्लिकेशन के पथ में मौजूद पैरामीटर्स की संभावित मानों की सूची को चेक करता है और उन्हें ब्रूटफोर्स करके संभावित गलतीयों या सुरक्षा खोंज करता है। यह टेस्टिंग टूल वेब ऐप्लिकेशन के पथ पैरामीटर्स की अद्यतन की जांच करने के लिए उपयोगी होता है और उन्हें ब्रूटफोर्स करके वेब ऐप्लिकेशन में संभावित सुरक्षा खोंज करने में मदद करता है।
यह वेब टूल एक विशेषता है जो एनटीएलएम (NTLM) आधारित प्रमाणीकरण को टेस्ट करने की क्षमता प्रदान करता है। इस टूल का उपयोग करके, आप दो सूचियों को उपयोग करके एक वेब सर्वर पर उपयोगकर्ता नामों और पासवर्डों की जांच कर सकते हैं।
इस टूल का उपयोग करने के लिए, आपको दो सूचियाँ तैयार करनी होगी। पहली सूची में उपयोगकर्ता नामों की सूची होगी और दूसरी सूची में पासवर्डों की सूची होगी। आप इन सूचियों को फ़ाइलों में सहेज सकते हैं और उन्हें टूल के साथ उपयोग कर सकते हैं।
इसके अलावा, आप एक फ़िल्टर स्ट्रिंग भी निर्दिष्ट कर सकते हैं जो उपयोगकर्ता नाम या पासवर्ड में शामिल होने वाले विशेष शब्दों को छिपा सकती है। इससे आपको उपयोगकर्ता नाम और पासवर्ड की जांच करने के लिए समय और श्रम की बचत होगी।
अंत में, आप एक प्रॉक्सी का उपयोग करके ट्रैफ़िक को रिडायरेक्ट कर सकते हैं। इससे आप ट्रैफ़िक को अपने वेब ब्राउज़र के द्वारा अनुकरण कर सकते हैं और उपयोगकर्ता नाम और पासवर्ड की जांच कर सकते हैं।
इस वेब टूल का उपयोग करने के लिए, आपको निम्नलिखित कमांड का उपयोग करना होगा:
यहां `<usernames_file>` और `<passwords_file>` आपकी सूचियों के फ़ाइल पथ को दर्शाते हैं, `<target_url>` आपके लक्षित वेब सर्वर का URL है, `<filter_string>` आपकी फ़िल्टर स्ट्रिंग है और `<proxy>` आपके प्रॉक्सी का URL है।
This technique involves using a file to perform a brute force attack on HTTP verbs (methods). The file contains a list of commonly used HTTP verbs, such as GET, POST, PUT, DELETE, etc. The tool used for this attack is wfuzz.
Replace `<path_to_file>` with the actual path to the file you created in step 1, and `<target_url>` with the URL of the target website. The `{FUZZ}` placeholder will be replaced by each verb from the file during the attack.
4. Analyze the results of the attack. Wfuzz will display the responses received for each verb. Look for any unexpected or unusual responses, as they may indicate potential vulnerabilities or misconfigurations.
By brute forcing HTTP verbs, you can discover hidden functionality or misconfigured endpoints on a web application, which can be useful for further exploitation or security testing.
ब्रूटफ़ोर्स एक तकनीक है जिसमें हम एक वेबसाइट पर मौजूद निर्देशिकाओं और फ़ाइलों की सूची को खोजने के लिए विभिन्न प्रकार के शब्दों या संकेतों का उपयोग करते हैं। यह हमें उन निर्देशिकाओं और फ़ाइलों की पहुंच प्राप्त करने में मदद करता है जो सामान्यतः दृश्यमान नहीं होती हैं।
ब्रूटफ़ोर्स टूल्स जैसे wfuzz इस कार्य को सरल बनाते हैं। wfuzz एक ओपन सोर्स टूल है जिसका उपयोग निर्देशिका और फ़ाइलों के लिए ब्रूटफ़ोर्स अटैक करने के लिए किया जाता है। यह शब्दों या संकेतों की सूची को एक वेबसाइट पर लागू करता है और संभावित निर्देशिकाओं और फ़ाइलों की सूची को खोजता है।
इस तकनीक का उपयोग एक वेबसाइट के सुरक्षा की जांच करने, गोपनीय या अनुमति रहित फ़ाइलों की खोज करने और अनधिकृत निर्देशिकाओं की पहुंच प्राप्त करने के लिए किया जाता है।
- क्या आप **साइबर सुरक्षा कंपनी** में काम करते हैं? क्या आप अपनी कंपनी को **HackTricks में विज्ञापित** देखना चाहते हैं? या क्या आपको **PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग** करने की इच्छा है? [**सदस्यता योजनाएं**](https://github.com/sponsors/carlospolop) की जांच करें!
- **शामिल हों** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में या मुझे **Twitter** पर **फ़ॉलो** करें [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **अपने हैकिंग ट्रिक्स को [hacktricks रेपो](https://github.com/carlospolop/hacktricks) और [hacktricks-cloud रेपो](https://github.com/carlospolop/hacktricks-cloud) में पीआर जमा करके साझा करें।**
