DotDotPwn – Directory Traversal Fuzzer

DotDotPwn è un tool da linea di comando incluso in distribuzioni dedicate al penetration testing come BackTrack, che ha da poco raggiunto la versione 3.01.
Questo tool cerca vulnerabilità di tipo Directory Traversal in vari servizi come HTTP o FTP.
I moduli di fuzzing sono:

  • HTTP
  • HTTP URL
  • FTP
  • TFTP
  • Payload (Protocol independent)
  • STDOUT

Per installarlo su distribuzioni Debian e derivate, dare i comandi

sudo apt-get install perl

e

sudo apt-get install nmap

per installare perl ed nmap.

Dopodichè bisogna installare alcune dipendenze perl, tramite CPAN:

$ sudo cpan
cpan[1]> install HTTP::Lite
cpan[2]> install Net::FTP
cpan[3]> install TFTP
cpan[4]> install Time::HiRes
cpan[5]> install Socket
cpan[6]> install IO::Socket
cpan[7]> install Getopt::Std
cpan[8]> install Switch

Infine, basta scaricarlo ed estrarlo:

$ wget <a href="www.brainoverflow.org/code/dotdotpwn-v3.0.tar.gz" title="www.brainoverflow.org/code/dotdotpwn-v3.0.tar.gz" target="_blank">www.brainoverflow.org/code/dotdotpwn-v3.0.tar.gz</a>
$ tar xzvf dotdotpwn-v2.1.tar.gz

Per usarlo la sintassi è molto semplice:

$ ./dotdotpwn.pl -m <module> -h <host> [OPZIONI]

Per maggiori informazioni, visitate il sito http://dotdotpwn.blogspot.it/.

Enjoy :D

Studente e programmatore, interessato alla sicurezza informatica.
Uso sistemi GNU/Linux, nello specifico Debian.