Wfuzz 全面使用指南：Web 应用模糊测试工具详解

Wfuzz 是一款功能强大的开源 Web 应用模糊测试（Fuzzing）工具，主要用于自动化发现 Web 应用中的隐藏资源、注入漏洞、目录遍历等问题。它由 Python 编写，支持多种 payload（有效载荷）注入方式，能够对 HTTP 请求的各个部分进行暴力破解或模糊测试，包括 URL 路径、GET/POST 参数、Cookie、HTTP 头、认证信息等。Wfuzz 的设计理念是模块化和可扩展性强，适合渗透测试人员、安全研究员和开发人员用于 Web 安全评估。

Wfuzz 的核心机制是通过在目标 URL 或请求中用特殊的占位符（如 FUZZ、FUZ2Z 等）标记需要模糊测试的位置，然后用指定的 payload 列表逐一替换这些占位符，发送 HTTP 请求，并根据响应（如状态码、响应长度、内容关键字等）来过滤和展示结果。这使得它在发现隐藏目录、备份文件、参数注入点等方面非常高效。

Wfuzz 的主要特点

Wfuzz 的优势在于其灵活性和扩展性，主要特点包括：

1. 多位置模糊测试：支持对 URL 路径、查询参数、POST 数据、Cookie、自定义 Header、HTTP 方法（Verb）等进行 fuzzing。
2. 丰富的 Payload 支持：内置多种 payload 类型，如文件词典、数字范围、列表等，还支持自定义和外部工具生成。
3. 强大的过滤和输出控制：根据响应码、响应行数、单词数、字符数、内容匹配等进行过滤，支持隐藏或高亮特定结果。
4. 迭代器和编码器：支持多个 payload 的组合（笛卡尔积、zip 等），以及多种编码方式（MD5、URL 编码等）。
5. 递归和性能优化：支持递归 fuzzing 发现的路径，多线程加速，延迟控制等。
6. 代理和认证支持：兼容 HTTP/SOCKS 代理，Basic、NTLM 等认证。
7. 脚本和插件系统：可扩展脚本用于被动/主动扫描，发现如 robots.txt 中的路径等。
8. 输出格式多样：支持 JSON、HTML 等格式保存结果，便于后续分析。
9. Python 库模式：可作为库在脚本中调用，实现自动化测试。
10. 辅助工具：如 wfpayload（生成 payload）、wfencode（编码/解码）。

Wfuzz 常用于目录爆破、参数 fuzzing、暴力登录、漏洞验证等场景，与 Burp Suite、DirBuster 等工具互补。

安装和入门

Wfuzz 的安装相对简单，通常通过 pip 安装：

pip install wfuzz

它依赖 pycurl 等库，在某些系统（如 MacOS 或 Windows）上可能需要额外处理 SSL 或 pycurl 问题。官方文档提供了针对这些平台的 troubleshooting 指南。

Wfuzz 自带词典目录（wordlist/），包含 common.txt、big.txt 等常用词典。运行后，可通过 wfuzz -h 查看帮助。

此外，支持 Docker 运行：

docker run -v $(pwd)/wordlist:/wordlist/ -it ghcr.io/xmendez/wfuzz wfuzz

这避免了本地安装问题。

入门示例：最简单的目录爆破：

wfuzz -w wordlist/general/common.txt --hc 404 http://example.com/FUZZ

这里 -w 指定词典，--hc 404 隐藏 404 响应（常见于不存在的路径），FUZZ 是 payload 注入点。

输出会显示响应码、行数（lines）、单词数（words）、字符数（chars）等，便于快速识别异常响应（如 200 或 403）。

基本用法详解

Wfuzz 的基本命令格式：

wfuzz [options] <target_url_with_FUZZ>

1. Payload 的指定

Payload 通过 -z 或 --zP 指定，常见类型：

• file：从文件加载词典。

  wfuzz -z file,wordlist/general/common.txt http://example.com/FUZZ

• range：数字范围。

  wfuzz -z range,1-100 http://example.com/page?id=FUZZ

• list：手动列表，用 - 分隔。

  wfuzz -z list,admin-login-backup http://example.com/FUZZ/

多个 payload 时，使用 FUZZ、FUZ2Z、FUZ3Z 等区分。

2. 模糊测试不同位置

• 路径和文件：

  wfuzz -w common.txt http://example.com/FUZZ.php  # 爆破 .php 文件

• GET 参数：

  wfuzz -z range,0-100 --hl 200 http://example.com/list.php?cat=FUZZ

  --hl 高亮特定响应。

• POST 数据 ：用 -d 指定 POST body。

  wfuzz -z file,passwords.txt -d "username=admin&password=FUZZ" --hc 302 http://example.com/login.php

  同时 fuzz 多个字段：

  wfuzz -z file,users.txt -z file,passwords.txt -d "uname=FUZZ&pass=FUZ2Z" http://example.com/login

• Cookie ：用 -b。

  wfuzz -z file,sessions.txt -b "SESSIONID=FUZZ" http://example.com/admin

• 自定义 Header ：用 -H。

  wfuzz -z list,Mozilla-Chrome -H "User-Agent: FUZZ" http://example.com/

• HTTP 方法 ：用 -X。

  wfuzz -z list,GET-POST-PUT-DELETE -X FUZZ http://example.com/resource

3. 代理和认证

• 代理：

  wfuzz -p 127.0.0.1:8080 http://example.com/FUZZ  # HTTP 代理
  wfuzz -p 127.0.0.1:1080:SOCKS5 ...  # SOCKS

• 认证：

  wfuzz --basic user:pass http://example.com/FUZZ
  wfuzz -z list,user1-user2 --basic FUZZ:password ...

4. 递归 fuzzing

发现路径后自动深入：

wfuzz -z list,admin-backup -R 2 http://example.com/FUZZ/  # 递归深度 2

5. 性能和输出控制

• 线程：-t 20（默认 10）。
• 延迟：-s 1（秒）。
• 输出到文件：-f results.json,json。
• 自定义显示：--efield url,h 显示 URL 和 headers。

列出可用输出格式：wfuzz -e printers。

高级用法

Wfuzz 的高级功能使其从简单爆破工具变为强大框架。

1. 迭代器（Iterators）

结合多个 payload，用 -m 指定模式（默认 product，即笛卡尔积）。

• product：所有组合。

  wfuzz -z list,a-b -z list,1-2 http://example.com/FUZZ/FUZ2Z  # a1,a2,b1,b2

• zip：对应位置组合。

  wfuzz -m zip -z list,a-b-c -z list,1-2-3 http://example.com/FUZZ/FUZ2Z  # a1, b2, c3

• chain：顺序连接。

  wfuzz -m chain ...  # a,b,c,1,2,3

2. 编码器（Encoders）

对 payload 进行编码转换，用 -z ... ,encoder 或 --zE。

列出编码器：wfuzz -e encoders（包括 md5、sha1、urlencode、base64、hex 等）。

示例：

wfuzz -z file,wordlist.txt,md5 http://example.com/?hash=FUZZ

多编码链：

wfuzz -z list,test,md5@urlencode

类别编码：hashes（所有哈希）。

3. 过滤器（Filters）

Wfuzz 的过滤语言非常强大，支持表达式过滤响应。

字段包括：c（code）、l（lines）、w（words）、h（chars）、content（内容）等。

语法：

--hc 404  # 隐藏 404（简写）
--hl 200  # 高亮 200
--hs "error"  # 隐藏含 "error" 的响应

复杂过滤：

wfuzz --filter "c!=404 and l>100 and content~'success'"

支持 and/or/not、比较运算符、正则 =~。

预过滤（prefilter）：在发送前过滤 payload。

切片（slice）：修改 payload，如 --slice "FUZZ.upper()"。

4. 脚本和插件

Wfuzz 支持插件脚本，用于扩展功能，如解析 robots.txt、发现备份文件等。

列出脚本：wfuzz -e scripts。

使用：

wfuzz --script=robots -z file,common.txt http://example.com/FUZZ

脚本类别：passive（被动）、active（主动）、discovery（发现）。

自定义脚本放在 ~/.wfuzz/scripts/。

5. 重用结果和基线请求

用 FUZZ{baseline} 进行基线比较，过滤差异。

重用保存的会话：通过 wfpayload 或 -f 加载。

6. 作为 Python 库使用

from wfuzz import fuzz

for r in fuzz(url="http://example.com/FUZZ", hc=[404], payloads=[("file", dict(fn="common.txt"))]):
    print(r)

适合集成到自定义工具中。

实际应用场景和技巧

1. 目录和文件发现：结合大词典（如 SecLists）和 --hc 404，快速扫描隐藏路径。
2. 参数注入测试：fuzz ID 参数查找 IDOR，或注入 XSS payload。
3. 暴力登录：POST fuzz 用户名/密码，过滤登录成功响应（如 --hs "invalid"）。
4. API 测试：fuzz JSON POST 数据，结合编码器处理 token。
5. 结合外部工具：输出 JSON 后用 jq 处理，或管道到其他工具。

总结

Wfuzz 作为一款经典的 Web fuzzing 工具，以其简单却强大的功能在安全社区中广受欢迎。从基本目录爆破到高级多 payload 组合、编码、过滤和脚本扩展，它提供了完整的 Web 安全测试链条。掌握 Wfuzz 需要实践多场景示例，结合官方词典和自定义 payload，能显著提升渗透测试效率。

本文基于 Wfuzz 官方文档（https://wfuzz.readthedocs.io/en/latest/）撰写，涵盖了从安装到高级功能的绝大部分内容。实际使用中，建议多运行 wfuzz -e <encoders|printers|scripts|iterators> 来探索可用选项。

、