maK-/parameth

GitHub: maK-/parameth

parameth 是一款用于暴力发现 Web GET/POST 参数的工具，能够通过响应差异判断隐藏的输入字段。

Stars: 1394 | Forks: 196

# 参数化此工具可用于暴力发现 GET 和 POST 参数当你在为常见文件进行目录遍历时，你可以识别出（例如 test.php）之类的脚本，它们看起来需要传递一个未知参数。希望这能帮助找到它们。 ![example scan](https://pbs.twimg.com/media/CsHJsjsXEAAOgxK.jpg) ***-off*** 标志允许你指定一个偏移量（有助于动态页面）例如，如果你收到交替的响应大小为 4444 和 4448，将偏移量设置为 5，它只会显示超出常规的内容 # 安装 ``` virtualenv venv . ./venv/bin/activate pip install -u -r requirements.txt ``` # 使用 ``` usage: parameth.py [-h] [-v] [-u URL] [-p PARAMS] [-H HEADER] [-a AGENT] [-t THREADS] [-off VARIANCE] [-diff DIFFERENCE] [-o OUT] [-P PROXY] [-x IGNORE] [-s SIZEIGNORE] [-d DATA] [-i IGMETH] [-c COOKIE] [-T TIMEOUT] optional arguments: -h, --help show this help message and exit -v, --version Version Information -u URL, --url URL Target URL -p PARAMS, --params PARAMS Provide a list of parameters to scan for -H HEADER, --header HEADER Add headers in format a:b c:d -a AGENT, --agent AGENT Specify a user agent -t THREADS, --threads THREADS Specify the number of threads. -off VARIANCE, --variance VARIANCE The offset in difference to ignore (if dynamic pages) -diff DIFFERENCE, --difference DIFFERENCE Percentage difference in response (recommended 95) -o OUT, --out OUT Specify output file -P PROXY, --proxy PROXY Specify a proxy in the form http|s://[IP]:[PORT] -x IGNORE, --ignore IGNORE Specify a status to ignore eg. 404,302... -s SIZEIGNORE, --sizeignore SIZEIGNORE Ignore responses of specified size -d DATA, --data DATA Provide default post data (also taken from provided url after ?) -i IGMETH, --igmeth IGMETH Ignore GET or POST method. Specify g or p -c COOKIE, --cookie COOKIE Specify Cookies -T TIMEOUT, --timeout TIMEOUT Specify a timeout in seconds to wait between each request ``` # 从源码添加新参数：以下正则表达式可能有助于从源码中解析 `$_GET` 或 `$_POST` 参数：

标签：CNCF, Cortex, GET参数, OpenTelemetry, OWASP, POST参数, SRE, web渗透, 代理支持, 偏差过滤, 分布式系统, 参数枚举, 后端服务, 告警, 响应大小分析, 大数据, 安全测试, 指标存储, 攻击性安全, 目录扫描, 脚本检测, 虚拟环境, 逆向工具