jueves, 1 de noviembre de 2012

ParameterFuzz v1.3


Aunque más de una vez he pensado en desaparecer de aquí, mi obsesividad por terminar aquello que empiezo, me lleva a irradiarlo enelpc, convirtiendo la actividad en un reto personal. No más lejos del objetivo de demostrarme y demostraros que sería capaz de llevarlo a cabo.

El problema se manifiesta cuando decides abandonar el proyecto, aún a sabiendas de que algo se escapaba o al menos siendo consciente de que podrías dar más de ti, haciendo de lo que anteriormente pensabas que sería una magnífica idea empezarla, se transforma en tu peor pesadilla para acompañar el Halloween.


Cambios respecto a la versión anterior:

---------------------------------------------

[+]Arreglados pequeños bugs y mejoras en la aplicación.
[+]Agregado un control para número máximo de puerto a utilizar, hasta 65535.
[+]Agregado el control "CSocketMaster", para peticiones manuales desde botón "Request" o "Petición".
[+]Agregado el ejecutable "Curl.exe", para compatibilidad con páginas bajo "SSL" desde el botón "Request" o "Petición".
[+]Agregados los códigos de error en respuestas del tipo 404, 403 y 500 para el log.
[+]Agregada la opción para utilizar el fuzzer de parámetros con direcorios y/o archivos.
[-]Eliminado el Focus del cuadro de búsqueda del código HTML.

---------------------------------------------

El botón de visualización de peticiones, ahora luce con opciones para enviarlas volcando una copia del HTML en local, permite visualizarlas en el propio navegador de la aplicación y modificar a mano el contenido de las cabeceras.


Para implementar esta opción, me he decantado por CsocketMaster, el hermano gemelo del conocido Control Winsock pero convertido en módulo. De esta manera no tendrán que registrar librerías de ningún tipo.

Sin embargo, para realizar peticiones bajo SSL, he introducido un nuevo ejecutable a la aplicación llamado curl.exe, ya que no existen módulos gratuitos que incorporen SSLv3 o las últimas versiones de TLS.

Para este tipo de peticiones, he ajustado las cajas de texto a la consola de CURL.


Para un buen funcionamiento de este ejecutable, se necesita correr con privilegios de administrador, con lo que sugiero que añadan el ejecutable de ParameterFuzz.exe, a las aplicaciones bajo compatibilidad con nivel de ejecución Administrador.

Por otro lado, también he pensado que sería buena idea incorporar un control de errores HTTP visibles desde los LOGs, basado en strings HTML para no solo diferenciar posibles parámetros sino también, realizar Fuzzing de directorios y archivos. Los diccionarios por defecto utilizados, seguirán siendo Inyecciones.txt y Parametros.txt.


A continuación dejo la descarga:

Saludos 4n4les! =O

6 comentarios:

  1. Excelente trabajo German, muchas gracias por compartirlo con todos!!
    Y mucho animo con el proyecto XD

    ResponderEliminar
    Respuestas
    1. Muchas gracias Villaveiran! igualmente intentaré sacar tiempo para mostrar otras cosillas =D

      Saludos!

      Eliminar
  2. Te he votado a los Bitácoras. Yo también me presento en la categoría de Belleza y Moda. Mi blog http://queacierto.blogspot.com Te agradecería que hicieras lo mismo.

    ResponderEliminar
  3. XDDDDDDDDDDDDDDDDD

    Negando votos a los que te votan...muy mal se empieza así un liderazgo eh!

    Hablando de otros temas, te dije que le daría una segunda oportunidad al ParameterFuzz y...a ello voy! Ya te diré qué tal se ha dado ò_o

    ResponderEliminar
  4. Hacen "copy & paste" del mensaje y lo publican en blogs que compiten, pero en realidad hay un máximo de votos por usuario en bitácoras... con lo que no pueden votarnos a todos:

    https://www.google.es/search?q="en+la+categoría+de+Belleza+y+Moda.+Mi+blog"

    Pwned!

    A ver que tal te va el Para-meter-fuzz truño ese... jeje

    Saludos! =D

    ResponderEliminar