Peki nereden indireceğiz? ve nasıl kullanacağız?
Öncelikle programımızı direk kaynağından kurmak istiyorsanız bilgisayarınıza Golang kurmanız lazım.
- https://go.dev/dl/ ilgili sayfayı ziyaret ederek golang’i sisteminize kurun.
Sonra terminalinizi açarak `go install github.com/burak0x01/findsecret@latest
` diyerek yüklemesini bekleyin.
Eğer bu kurulumda sıkıntı yaşarsanız aşağıdaki adımları takip edin.
- https://github.com/burak0x01/findsecret/releases/ sayfayı ziyaret edin.
- Sisteminize uygun en son sürüm binary dosyasını indirin.
Linux için: qc_1–0–1_linux_amd64.zip
Windows için: qc_1–0–1_windows_amd64.zip
Mac için: qc_1–0–1_darwin_amd64.zip
- Dosyayı zipden çıkartın.
İşte bu kadar. Artık kullanıma hazır.
Peki nasıl kullanacağız?
Kullanımı çok basit. Örneğin elimizde bir urls.txt dosyası var ve içeriği de gau ya da waybackurls gibi araçlarımızdan aldığımız url’ler olsun. Örneğin:
Sonra
diyerek programımızı çalıştıracağız.
Sonuç
şeklinde olacak.
Aracımız her bir url’i aldı tüm parametreleri tek tek gezerek bizden aldığı FUZZ değerini yerleştirdi.
Peki gerçek hayatta nasıl bir senaryoda kullanacağız?
Diyelimki redacted.com adlı sitede hızlıca bir ssrf testi gerçekleştirmek istiyoruz. Hedef siteyi waybakurls veya gau gibi araçlara verdik ve elimizde onbinlerce url var. interactsh veya burp collaborator gibi araçlardan da gelen istekleri görebileciğimiz bir payload ürettik. Normalde tek tek her bir parametreye bu payload’ı ekleyip istek atıp ssrf var mı diye kontrol etmemiz gerekirdi. Burda qc devreye giriyor.
diyerek onbinlerce url’imize tek tek payload yerleşecek. Sonra result.txt dosyamıza ffuf kullanıp tek tek istek atarak ssrf testi yapabiliriz. İşimiz büyük oranda kolaylaşacak.
Evet artık aracımızın ne işe yaradığını ve nasıl kullanacağımızı biliyoruz.
Umarım beğenmişsinizdir. Bir sonraki yazıda görüşmek üzere. Hoşcakalın.