Huntpad


O bloco de notas do caçador de falhas

Syhunt Huntpad é um bloco de notas de código-aberto com características que são particularmente úteis para profissionais que realizam teste de invasão e caçadores de falhas - uma coleção de geradores de strings comuns de injeção, geradores de hash, codificadores e decodificadores, funções de HTML e manipulação de texto, e assim por diante, juntamente realce de sintaxe e capacidade de executar scripts em mais de 10 linguagens de programação.

Star


Huntpad pega emprestado muitas características da barra QuickInject do navegador Syhunt Sandcat. Como seu primo, ele é focado em Inclusão de Arquivos, XSS e Injeção de SQL e vem com as seguintes opções:

  • Capacidade de executar scripts em 12 linguagens de programação diferentes (novo no Huntpad 2.0):
    • Executar código em C# (.NET), Java, JavaScript, Lua, Perl, PHP, Python, Ruby, Pascal, VBScript e TypeScript
    • Executar código em JavaScript usando um motor de sua escolha: JavaScriptCore, SpiderMonkey, V8 (Node.js), V8 (Puro), JScript e QuickJS
    • Executar supersets de JavaScript como TypeScript, JS++ e TIScript
    • Executar código em Lua usando a versão do Lua de sua escolha: JIT, 5.1, 5.2, 5.3 e 5.4
  • Gerador de Senhas Aleatórias Seguras (novo no Huntpad 2.0)
  • Funções de Aleatório Seguro - Hexa, Base64, Número (novo no Huntpad 2.0)
  • Gerador de UUID seguro (novo no Huntpad 2.0)
  • JSON String Escape (novo no Huntpad 2.0)
  • Realce de Sintaxe - suportando HTML, JavaScript, CSS, XML, PHP, Ruby, SQL, Pascal, Perl, Python e VBScript.
  • Funções de Injeção de SQL
    • Evasão de Filtros - String Escape Específico de Banco de Dados (CHAR e CHR). Conversão de strings para Conversion of strings para quoted strings, conversão de espaços para tags de comentários ou novas linhas
    • Evasão de Filtros (Específico de MySQL) - Concatenação de String, Obfuscação de Percentagem e Representação de Inteiros (ex: '26' se torna 'ceil(pi()*pi())*(!!!pi()+true)+ceil(@@version)', uma técnica apresentada por Johannes Dahse).
    • Criador de Declaração UNION
    • Inserção rápida de injeções comuns cobrindo DB2, Informix, Ingres, MySQL, MSSQL, Oracle e PostgreSQL
  • Funções de Inclusão de Arquivos
    • Gerador rápido de código de upload de shell
    • PHP String Escape (chr)
  • Funções de Cross-Site Scripting (XSS)
    • Evasão de Filtros - JavaScript String Escape (String.fromCharCode), CSS Escape
    • Várias declarações úteis de alerta para testar por vulnerabilidades do tipo XSS.
  • Funções de Hash
    • Geradores de Hash - MD5, SHA-1, SHA-2 (224, 256, 384 & 512), GOST, HAVAL (vários), MD2, MD4, RIPEMD (128, 160, 256 & 320), Salsa10, Salsa20, Snefru (128 & 256), Tiger (vários) e WHIRLPOOL
  • Codificadores/Decodificadores
    • Codificador/Decodificador de URL
    • Codificador/Decodificador de Hexa - Converte uma string ou inteiro para hexadecimal ou vice-versa (múltiplos formatos de saída suportados).
    • Codificador/Decodificador de Base64
    • Conversor de CharCode - Converte uma string para charcodes (ex: 'abc' se torna '97,98,99') ou vice-versa.
    • Obfuscador de IP - Converte um IP para dword, hexa ou octal.
    • Codificadores de JavaScript - Como o JJEncode por Yosuke HASEGAWA
  • Funções de HTML
    • HTML Escape/Unescape
    • Codificador/Decodificador de Entidades de HTML - Codificadores e decodificadores de entidades de HTML em decimal e hexadecimal.
    • Beautifiers de JavaScript e CSS
    • JavaScript String Escape
  • Funções de Manipulação de Texto - Uppercase, Lowercase, Swap Case, Title Case, Reverso, Embaralhar, Cortar Barras, Cortar Espaços, Adicionar Barras, Separador de Char
  • Código de Injeção Cega Baseada em Tempo - Cobrindo MySQL, MSSQL, Oracle, PostgreSQL, Server-Side JavaScript e MongoDB
  • Calculadores de CRC - CRC16, CRC32, CRC32b, e mais.
  • Ciphers Clássicos - ROT13 e ROT[N]
  • Calculadores de Soma de Verificação (Checksum) - Adler-32 e Fletcher
  • Criador de String de Buffer Overflow
  • Funções de Geração Aleatória de Strings e Números
  • Divisor de URL
  • Strings úteis - Matemática, conjuntos de caracteres e mais.

HuntPad é similar ao CyberChef do GCHQ, mas com menos ênfase em formatos de texto de dados estruturados e criptografia PublicKey+symmetric - não é uma crítica porque uma abordagem de software é necessária para testes de websec.

Derek Callaway, IOActive, Consultor de Cibersegurança

Tenha tudo no mesmo lugar.

Mattias B. @0x5573616769, Pentester



Contato