Buenas noches, queridos compañeros de UNDERC0DE, desde hace bastante tiempo me estoy metiendo en su página para ver las novedades, demás, en verdad me gusta bastante, y la mejora que le hicieron a la página queda de 10.
Quería hacer una consulta, ya que me surgió una duda sobre FUZZING.
Yo quiero hacer fuzzing, estuve viendo temas sobre "web assembly", ya que es "tecnicamente" nuevo, y se dice que será el futuro y podrá reemplazar en algunas cosas a "JS", me gustaría saber como hacer fuzzing.
He visto tutoriales, y demás, probé aplicaciones como:
1-BFuzz 2- Fuzzilii 3- AFL FUZZ 4- fuzzing_browsers_wasm_js 5- hongg fuzz 6- TrapFuzz 7- honggfuzz-dharma 8- Dharma 9- Domato -ETC!
En donde intervienen vulnerabilidades a " JavaScriptCore, Spidermonkey, and v8"
Quería saber si tienen un manual, cuál prefieren, cual me recomiendan. Yo sinceramente estuve viendo sobre los ultimos CVE de chrome. Sobre RCE, y me interesa bastante encontrar bugs, y aprender.
Si tienen un pdf, o charlar sobre el tema me vendría re bien.
Por ultimo: Entiendo bastante sobre el tema, mi interés en sí es sobre chrome, firefox, y IE, edge también pero recién se está conociendo y para mi es bastante bueno, me gusta bastante.
entiendo que existe el sandbox y el ASRL, pero eso veré más adelante, lo primordial es encontrar un fuzzer y empezar por algo.
Estoy usando kali 20201b(GNOME, me gusta más por su simplicidad) en vmware, y windows 10 x64 para pruebas.

Buenas, cómo les va?, espero que sea acá donde puedo poner ésto.
Les quería preguntar que tengo que ver o estudiar para ver exploits a navegadores.
Y para crear exploits que sea enviando por url, en beef por ejemplo, o creando una página con apache2, qué tendría que explotar?, java por ejemplo y el navegador?, O con solo un exploit en java me deja entrar?.
Quería saber si al estudiar ingenieria inversa a navegadores también sigue funcionando esta opción, ya que usaría metasploit para entrar usando listeners.
Un ejemplo de lo que quiero logar es NAT PINNING, o algo muy parecido a esto: "CVE-2019-13720 POC Exploit Chrome x64 on Windows".
Me gustaría y acepto consejos del grupo. Con toda sinceridad y ánimos por favor.
No quiero burarme de nada, ni busco éso.
No soy un script kiddies como dicen algunos, entiendo varias cosas.
Estuve viendo también fuzzing a navegadores y aplicaciones. Mi pregunta también sería si al hacerlo a java o distintas cosas podría lograr éso, obviamente usando Overflows, o distintos flows, se logran estos resultados, sinceramente me encuentro bastante mareado porque es mucho el material y poco el tiempo, más errores de software.
Lo que sí pude lograr es un fuzzing a una aplicación llamada XAMP para windows 10, lo cual logré hacer un pantallaso azul, con varias aplicaciones desde kali(en lan). Pero más allá de éso, necesito saber de aplicaciones para ver dónde está el fallo y demás.
Sé que los exploits se cargan a la ram para evitar visibilidad.
Y bueno finalizando es esto en sí, hay más temas pero al crear el post se me hace largo y trato de explicarlo rápido, gracias y díganme si coloqué bien el post en el lugar correcto.
pd: tengo un video de lo realizado para xamp, emm: si quieren paso el link asi le echan un vistazo.