viernes, 7 de septiembre de 2012

ParameterFuzz v1.0 By 4n0nym0us


Tenía que desconectar como fuese de este RJ45 que se apiada de mi tiempo, y no encontré mejor momento que hacerlo este fin de semana... ¡Así que me voy a la Sierra!

Ya era hora de respirar aire puro, estar rodeado de bosque es una buena opción frente al asfixiante dióxido de carbono que da sombra, formando el famoso hongo que cubre el centro de Madrid.

Como prometí traeros buenas nuevas, me he permitido el lujo de adelantarme para el día de hoy y nada mejor que la última versión estable de ParameterFuzz v1.0.

A continuación os dejo un listado de cambios que se han dado:

----------------------------------------
[+]Mayor control de errores.

[+]Agregado el método POST.
[+]Agregada la opción de enviar más parámetros en método POST, en una caja de texto individual.
[+]Agregado un CheckBox para elegir el protocolo de envío de peticiones, HTTP o HTTPS por cualquier puerto.
[+]Agregado un botón para ver como se construyen las peticiones de forma previa.
[+]Agregada la posibilidad de ver el código fuente y buscar cadenas como (Case Insentive), aceptando mayúsculas y minúsculas.
[+]Agregado un contabilizador de palabras encontradas para el buscador en el código fuente.
[+]Agregado el tapiz de fondo del blog en el Webbrowser de la página inicial.

[+]Corregido un error en los protocolos de envío que no permitía conexiones seguras.
[+]Corregido un problema al mostrar los ampersands en las cajas de página actual.
[+]Ya no se muestra el carácter de fin del diccionario de Inyecciones.
[+]Corregido el ajuste del logo en la pantalla inicial para todas las resoluciones.

[-]Eliminado el "Volcado HTML Local".
[-]Eliminado el control Winsock. ;)
----------------------------------------

Nada mejor que ver unas capturas para ver su funcionamiento... ¿no?

He preferido no cambiar demasiado el formulario de inicio, por aquello de la ilusión de ver el botón de POST habilitado.


El campo de navegación ha sido aumentando, permitiendo a los auditores ver los resultados con mayor facilidad. Las opciones de configuración para las peticiones, se han visto ampliadas en esta nueva versión, con campos más grandes y mejor aprovechados. Como se aprecia en la siguiente imagen, estas aparecen colocadas de forma más intuitiva.


Si nos fijamos en la parte superior derecha, se puede ver la opción de “Código Fuente”, donde presionando el botón “Fuente”, podremos ver el código HTML de la página, el cual nos permite navegar por Internet actualizándose de forma automatizada. Otra de las opciones a destacar de esta nueva función, es la de hacer una búsqueda de palabras, en nuestro caso será una buena idea probar resultados tras inyecciones, de esta forma dar con vulnerabilidades de tipo HTMLi, Cross Site Scripting o SQLi de una manera más rápida, ya que estas quedarán subrayadas.


Saltando al método POST, nos encontramos con una nueva caja de texto llamada “Parámetros”. La cual nos permite incluir los parámetros a enviar en una petición, en caso de ser varios los necesarios. En el siguiente ejemplo se muestra como se vulnera la conocida página de SexyONo, incluyendo una imagen debajo del panel de acceso a usuarios, siendo enviada mediante una variable llamada “sexo=”.


De la misma manera, podremos ojear el código fuente y contabilizar cuantas veces se incluye la inyección en su código.


Otra de las opciones a destacar, es la de ver de forma anticipada, el envío de la petición. Esto nos hará una idea de si realmente la estamos construyendo correctamente.


PD:Si tienen dudas no tengan miedo en preguntar, al igual si encuentran problemas o errores sin controlar

Descarga:

Saludos 4n4les! ;)

7 comentarios:

  1. Fantástico Germán!
    No veas lo rápido que actualizas el soft xD
    Con tu permiso voy a echarle mano a esta nueva versión!

    Ojalá me pudiera concentrar en picar código como tú, pero me disperso demasiado en otros temas.. >_< que poca fuerza de voluntad tengo... (y eso que disfruto como un crío programando...)

    Enfin, enhorabuena y sigue así! :)

    ResponderEliminar
    Respuestas
    1. Muchas gracias Anonimo! Me alegro de que te guste la aplicación!

      Un Saludo! :)

      Eliminar
  2. ¡Qué sepas que me hiciste daño! ¡A mi no me elimina nadie! ¡NADIE!

    PD: Si te parece bien, registrate en sites de google, y podrás utilizar de almacenaje, para ficheros "pequeños", unos pocos megas, permitiendo la descarga directa + contador de nº de veces bajado ;).

    ResponderEliminar
    Respuestas
    1. jajaj que loco! de donde te he eliminado WinSoCk!!!!!!!

      No estaría mal, voy a mirarlo a ver si lo hago más bonito el tema de las descargas... por ahora van 2500 descargas, o no... jejeje

      Saludos! :)

      PD: Y las jarritas?

      Eliminar
    2. Cito: "[-]Eliminado el "Volcado HTML Local".
      [-]Eliminado el control Winsock. ;)"

      ¬¬U ¡Ves! ¡Me borraste! ¡Traidooorrr! XDDD

      PD: Te doy un toque la semana que viene ;)

      Eliminar
  3. Buen, programa, aunque le podrías dar mejor uso :)
    Una preguntita: Se guarda la inyección html? o solo es local?

    ResponderEliminar
    Respuestas
    1. Define la diferencia existente, entre guardar una inyección html y... "que sea local"

      Saludos! :P

      Eliminar