HuntPad é similar ao CyberChef do GCHQ, mas com menos ênfase em formatos de texto de dados estruturados e criptografia PublicKey+symmetric - não é uma crítica porque uma abordagem de software é necessária para testes de websec.
Derek Callaway, IOActive, Consultor de Cibersegurança
Huntpad
O bloco de notas do caçador de falhas
Syhunt Huntpad é um bloco de notas de código-aberto com características que são particularmente úteis para profissionais que realizam teste de invasão e caçadores de falhas - uma coleção de geradores de strings comuns de injeção, geradores de hash, codificadores e decodificadores, funções de HTML e manipulação de texto, e assim por diante, juntamente realce de sintaxe e capacidade de executar scripts em mais de 10 linguagens de programação.
Huntpad pega emprestado muitas características da barra QuickInject do navegador Syhunt Sandcat. Como seu primo, ele é focado em Inclusão de Arquivos, XSS e Injeção de SQL e vem com as seguintes opções:
- Capacidade de executar scripts em 12 linguagens de programação diferentes (novo no Huntpad 2.0):
- Executar código em C# (.NET), Java, JavaScript, Lua, Perl, PHP, Python, Ruby, Pascal, VBScript e TypeScript
- Executar código em JavaScript usando um motor de sua escolha: JavaScriptCore, SpiderMonkey, V8 (Node.js), V8 (Puro), JScript e QuickJS
- Executar supersets de JavaScript como TypeScript, JS++ e TIScript
- Executar código em Lua usando a versão do Lua de sua escolha: JIT, 5.1, 5.2, 5.3 e 5.4
- Gerador de Senhas Aleatórias Seguras (novo no Huntpad 2.0)
- Funções de Aleatório Seguro - Hexa, Base64, Número (novo no Huntpad 2.0)
- Gerador de UUID seguro (novo no Huntpad 2.0)
- JSON String Escape (novo no Huntpad 2.0)
- Realce de Sintaxe - suportando HTML, JavaScript, CSS, XML, PHP, Ruby, SQL, Pascal, Perl, Python e VBScript.
- Funções de Injeção de SQL
- Evasão de Filtros - String Escape Específico de Banco de Dados (CHAR e CHR). Conversão de strings para Conversion of strings para quoted strings, conversão de espaços para tags de comentários ou novas linhas
- Evasão de Filtros (Específico de MySQL) - Concatenação de String, Obfuscação de Percentagem e Representação de Inteiros (ex: '26' se torna 'ceil(pi()*pi())*(!!!pi()+true)+ceil(@@version)', uma técnica apresentada por Johannes Dahse).
- Criador de Declaração UNION
- Inserção rápida de injeções comuns cobrindo DB2, Informix, Ingres, MySQL, MSSQL, Oracle e PostgreSQL
- Funções de Inclusão de Arquivos
- Gerador rápido de código de upload de shell
- PHP String Escape (chr)
- Funções de Cross-Site Scripting (XSS)
- Evasão de Filtros - JavaScript String Escape (String.fromCharCode), CSS Escape
- Várias declarações úteis de alerta para testar por vulnerabilidades do tipo XSS.
- Funções de Hash
- Geradores de Hash - MD5, SHA-1, SHA-2 (224, 256, 384 & 512), GOST, HAVAL (vários), MD2, MD4, RIPEMD (128, 160, 256 & 320), Salsa10, Salsa20, Snefru (128 & 256), Tiger (vários) e WHIRLPOOL
- Codificadores/Decodificadores
- Codificador/Decodificador de URL
- Codificador/Decodificador de Hexa - Converte uma string ou inteiro para hexadecimal ou vice-versa (múltiplos formatos de saída suportados).
- Codificador/Decodificador de Base64
- Conversor de CharCode - Converte uma string para charcodes (ex: 'abc' se torna '97,98,99') ou vice-versa.
- Obfuscador de IP - Converte um IP para dword, hexa ou octal.
- Codificadores de JavaScript - Como o JJEncode por Yosuke HASEGAWA
- Funções de HTML
- HTML Escape/Unescape
- Codificador/Decodificador de Entidades de HTML - Codificadores e decodificadores de entidades de HTML em decimal e hexadecimal.
- Beautifiers de JavaScript e CSS
- JavaScript String Escape
- Funções de Manipulação de Texto - Uppercase, Lowercase, Swap Case, Title Case, Reverso, Embaralhar, Cortar Barras, Cortar Espaços, Adicionar Barras, Separador de Char
- Código de Injeção Cega Baseada em Tempo - Cobrindo MySQL, MSSQL, Oracle, PostgreSQL, Server-Side JavaScript e MongoDB
- Calculadores de CRC - CRC16, CRC32, CRC32b, e mais.
- Ciphers Clássicos - ROT13 e ROT[N]
- Calculadores de Soma de Verificação (Checksum) - Adler-32 e Fletcher
- Criador de String de Buffer Overflow
- Funções de Geração Aleatória de Strings e Números
- Divisor de URL
- Strings úteis - Matemática, conjuntos de caracteres e mais.
Tenha tudo no mesmo lugar.
Mattias B. @0x5573616769, Pentester