sábado, 27 de julio de 2013

ParameterFuzz v1.6

La verdad que llevo diez minutos mirando al techo pensando en cómo empezar esta entrada, para de alguna manera hacerles llegar un mensaje que crease una situación de bienestar involuntario cada vez que escuchaseis ParameterFuzz. Como no me puedo colar en vuestras casas y prender un incienso que entone una situación de placebo, les regalo la última versión de mi software para que la prueben.

Odio el rollito comercial, así que el fin principal de este post aparte de presentaros las nuevas utilidades de ParameterFuzz, será exponer en forma de manual de instrucciones sin llegar a detallar, cuáles son las herramientas que lo forman.

El desplegable Tools, muestra actualmente el siguiente aspecto.


Entrando en primera instancia con los cambios y cosas nuevas, nos toparemos con el extractor de INPUTs de las páginas de respuesta, el cual muestra las variables utilizadas. Por comodidad del auditor, si esta herramienta encuentra algún parámetro disponible, automáticamente aparecerá un botón con el fin de utilizarlas como diccionario para próximos ataques. El anterior diccionario es guardado tras una extensión BAK, en el directorio de diccionarios.


Otra de las innovaciones con la cual estoy muy contento, ha sido la de incluir una aplicación con capacidad para detectar posibles vulnerabilidades de SQL Injection. Esta herramienta realiza siete comprobaciones diferentes incluyendo sintaxis pensadas para evasión de filtros. Hace todo lo que yo compruebo, antes de explotar esta vulnerabilidad.


Como ven he agregado un botón de acceso rápido, para enviar al igual que en el caso del Spider, las url al detector.

Es posible utilizar la sintaxis %Inject%, para seleccionar el punto de inyección, tanto en peticiones GET como en POST.


Una de las cosas agregadas, es un scanner pasivo vinculado a la nueva herramienta detectora de fugas. Esta se encargará de examinar el contenido de las páginas cargadas por el navegador de ParameterFuzz, con el fin de encontrar errores de sintaxis SQL, mensajes de error, códigos fuente o inclusive llegando en algunos casos a detectar vulnerabilidades de Cross Site Scripting. He incluido una imagen con la máscara de V de Vendetta, la cual aparecerá según utilicemos la herramienta cada vez que se detecten fugas “leaks”.


Una vez detectadas las fugas o vulnerabilidades, esta herramienta nos da la posibilidad de buscar en el código fuente donde se hallaron.


Si utilizamos el modo automático de envío de parámetros, al revisar los logs, es posible que aparezca la palabra “leak!”. Esto ocurrirá siempre y cuando se detectasen fugas, para dejar constancia al auditor de que al replicar esa petición, encontrará algo de relevancia.


La siguiente imagen se trata de una página la cual contiene errores.


He eliminado el módulo CScoketMaster y la opción de enviar peticiones desde el editor. Pienso que la herramienta quedará mucho más limpia sin esta utilidad la cual personalmente no le daba uso. A parte de eliminar curl.exe, Avira Antivir parece que empieza a querer a ParameterFuzz =)

Recordarles, que se disponen de herramientas como “Add Header”, para enviar nuevas cabeceras en las peticiones.


Una herramienta para realizar codificaciones y decodificaciones de strings.


Y la herramienta Spider para navegar de forma activa enviando los links al navegador principal.

Espero que la descarguen pues sinceramente, yo utilizo mi herramienta xD


Saludos 4n4les! ;)

11 comentarios:

  1. ¡Tremendo trabajo Germán, felicidades!

    ResponderEliminar
  2. Muy buena esta tool, la he utilizado y me a dado muy buenos resultados, sigue mejorándola que te va quedando de lujo.

    ResponderEliminar
    Respuestas
    1. Ricardoooo! =D

      Tengo más cosas en mente, pero más adelante...

      Nos vemos en TD ^^

      Eliminar
  3. Germán! vas camino de hacer un All-in-One jajaja

    Muy buen curro, si señor!

    un abrazo!

    ResponderEliminar
    Respuestas
    1. Graaacias Pablo!
      Menos mal que las herramientas secundarias interactuan con la principal... sino debería de plantearme cambiarle el nombre jejejej

      Saludos! :)

      Eliminar
  4. Muchas gracias Germán por el aporte acabo de ver la aplicación esta muy bien.

    ResponderEliminar
    Respuestas
    1. Muchas gracias David! ya estoy tratando de incluir nuevas opciones :)

      Un saludo!

      Eliminar
    2. Hola German.

      un pasada el curro que te estas pegando. Va muy bien tu "pequeña" creacion jejeje.
      Solo una cosilla, en determinados casos podria venir bien un boton de "parar escaneo" XDD por si te equivocas de host y te das cuenta despues de darle a "enviar"

      un saludete y enhorabuena.

      Eliminar
    3. Muchas gracias Anónimo,

      el botón para realizar la parada, es el mismo que el de "Send" en tiempo de escaneo. Este cambia su nombre a STOP.

      La nueva versión quedará un poquito mejor :)

      Un saludo! :)

      Eliminar
  5. hola german juego un juego online que usa hackshield y quiero jakear con cheat engine pero no me deja el juego es skyfighters.com porfavor ayudame

    ResponderEliminar