ParameterFuzz v1.6

La verdad que llevo diez minutos mirando al techo pensando en cómo empezar esta entrada, para de alguna manera hacerles llegar un mensaje que crease una situación de bienestar involuntario cada vez que escuchaseis ParameterFuzz. Como no me puedo colar en vuestras casas y prender un incienso que entone una situación de placebo, les regalo la última versión de mi software para que la prueben.

Odio el rollito comercial, así que el fin principal de este post aparte de presentaros las nuevas utilidades de ParameterFuzz, será exponer en forma de manual de instrucciones sin llegar a detallar, cuáles son las herramientas que lo forman.

El desplegable Tools, muestra actualmente el siguiente aspecto.

Entrando en primera instancia con los cambios y cosas nuevas, nos toparemos con el extractor de INPUTs de las páginas de respuesta, el cual muestra las variables utilizadas. Por comodidad del auditor, si esta herramienta encuentra algún parámetro disponible, automáticamente aparecerá un botón con el fin de utilizarlas como diccionario para próximos ataques. El anterior diccionario es guardado tras una extensión BAK, en el directorio de diccionarios.

Otra de las innovaciones con la cual estoy muy contento, ha sido la de incluir una aplicación con capacidad para detectar posibles vulnerabilidades de SQL Injection. Esta herramienta realiza siete comprobaciones diferentes incluyendo sintaxis pensadas para evasión de filtros. Hace todo lo que yo compruebo, antes de explotar esta vulnerabilidad.

Como ven he agregado un botón de acceso rápido, para enviar al igual que en el caso del Spider, las url al detector.

Es posible utilizar la sintaxis %Inject%, para seleccionar el punto de inyección, tanto en peticiones GET como en POST.

Una de las cosas agregadas, es un scanner pasivo vinculado a la nueva herramienta detectora de fugas. Esta se encargará de examinar el contenido de las páginas cargadas por el navegador de ParameterFuzz, con el fin de encontrar errores de sintaxis SQL, mensajes de error, códigos fuente o inclusive llegando en algunos casos a detectar vulnerabilidades de Cross Site Scripting. He incluido una imagen con la máscara de V de Vendetta, la cual aparecerá según utilicemos la herramienta cada vez que se detecten fugas “leaks”.

Una vez detectadas las fugas o vulnerabilidades, esta herramienta nos da la posibilidad de buscar en el código fuente donde se hallaron.

Si utilizamos el modo automático de envío de parámetros, al revisar los logs, es posible que aparezca la palabra “leak!”. Esto ocurrirá siempre y cuando se detectasen fugas, para dejar constancia al auditor de que al replicar esa petición, encontrará algo de relevancia.

La siguiente imagen se trata de una página la cual contiene errores.

He eliminado el módulo CScoketMaster y la opción de enviar peticiones desde el editor. Pienso que la herramienta quedará mucho más limpia sin esta utilidad la cual personalmente no le daba uso. A parte de eliminar curl.exe, Avira Antivir parece que empieza a querer a ParameterFuzz =)

Recordarles, que se disponen de herramientas como “Add Header”, para enviar nuevas cabeceras en las peticiones.

Una herramienta para realizar codificaciones y decodificaciones de strings.

Y la herramienta Spider para navegar de forma activa enviando los links al navegador principal.

Espero que la descarguen pues sinceramente, yo utilizo mi herramienta xD

Descarga: https://parameterfuzz.googlecode.com/files/ParameterFuzz%20v1.6.zip

Saludos 4n4les! ;)