URL Fuzzer

<?
    //  URL Fuzzer
    //  Search Hidden Directories & your fucking files :O
    //  By Spade
    //  8==Dick Heads - - -
    error_reporting(0);
    set_time_limit(0);

    function headers($url){
        // this thing is inspired in Knockpy shit!
        $ulo = @get_headers($url);

        if($ulo[1] == "" || !empty($ulo[1])){
            echo $ulo[1]."<br>";
        }
        if($ulo[2] == "" || !empty($ulo[2])){
            echo $ulo[2]."<br>";
        }
        if($ulo[3] == "" || !empty($ulo[3])){
            echo $ulo[3]."<br>";
        }
        if($ulo[4] == "" || !empty($ulo[4])){
            echo $ulo[4]."<br>";
        }
        if($ulo[5] == "" || !empty($ulo[5])){
            echo $ulo[5]."<br>";
        }
        if($ulo[6] == "" || !empty($ulo[6])){
            echo $ulo[6]."<br>";
        }
        if($ulo[7] == "" || !empty($ulo[7])){
            echo $ulo[7]."<br>";
        }
        if($ulo[8] == "" || !empty($ulo[8])){
            echo $ulo[8]."<br>";
        }
    }//end of function

    function brutedir($url, $dir) {
        //bring your own wordlist worthless

        $urls = $url."/".$dir;

        $headers = @get_headers($urls);
        if($headers[0] == "HTTP/1.1 404 Not Found"){
            echo "<font color='red'>[NOT FOUND] {$urls} does not exists..</font>";
        }else if($headers[0] == 'HTTP/1.0 302 Found' && $headers[7] == "HTTP/1.0 404 Not Found"){
            echo "<font color='red'>[NOT FOUND] {$urls} does not exists, Redirected to custom 404 Page..</font>";
            flush();
            @ob_flush();
        }else if($headers[0] == "HTTP/1.0 302 Found"){
            echo "<font color='red'>[NOT FOUND] {$urls} does not exists, Error 302..</font>";
            flush();
            @ob_flush();
        }else if($headers[0] == "HTTP/1.0 301 Moved Permanently"){
            echo "<font color='red'>[MOVED PERMANENTLY] {$urls} does not exists, Error 301..</font>";
            flush();
            @ob_flush();
        }else if($headers[0] == "HTTP/1.1 200 OK"){
            echo "<font color='lime'><a href='{$urls}' target='_blank'>[FOUND] {$urls}</a> does exists..</font>";
            flush();
            @ob_flush();
            sleep(1);
        }elseif(eregi('404', $headers[0])){
            echo "<font color='red'>[NOT FOUND] {$urls} does not exists..</font>";
            flush();
            @ob_flush();
        }elseif(eregi('403', $headers[0])){
            echo "<font color='red'>[FORBIDDEN] {$urls} is forbidden..</font>";
            flush();
            @ob_flush();
        }elseif(eregi('500', $headers[0])){
            echo "<font color='red'>[INTERNAL SERVER ERROR] {$urls} is Server Error..</font>";
            flush();
            @ob_flush();
        }elseif(eregi('301', $headers[0])){
            echo "<font color='gold'>[MOVED PERMANENTLY] {$urls} has been moved..</font>";
            flush();
            @ob_flush();
        }else{
            echo "<font color='gold'>{$headers[0]} >> {$urls} :| </font>";
            flush();
            @ob_flush();
            sleep(1);
        }
    }//end of function

    $ip = isset($_SERVER['REMOTE_ADDR']) ? $_SERVER['REMOTE_ADDR'] : $_SERVER['HTTP_CLIENT_IP'];
    $token = bin2hex(base64_encode(crypt($ip.openssl_random_pseudo_bytes(32), 'spade')));
    setcookie('csrf_token', $token);
?>
<!DOCTYPE html>
<html>
    <head>
        <meta charset='UTF-8'>
                <title>-[URL Fuzzer]-</title>
                <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no, user-scalable=0">
                <meta name="apple-mobile-web-app-capable" content="yes">
                <meta name="Author"       content="Spade | Spade Pirates | Purehackers"/>
                <meta name="keywords" content="URL Fuzzer, fuzzer, url, directory finder, file finder, where is your file" /><!-- Dagdagan na lang ng keywords next tym -->
                <meta name="copyright"    content="Spade"/>
                <meta name="description"  content="Just a URL Fuzzer type thing"/>
                <meta property="og:title" content="\m/ URL Fuzzer \m/"/>
                <meta property="og:image" content="http://fullhdpictures.com/wp-content/uploads/2015/11/FBI-Wallpapers-HD.jpg">

                <link rel="shortcut icon" href="https://scontent.fmnl4-6.fna.fbcdn.net/v/t1.0-9/14063981_1156553544409664_2673515992550445874_n.jpg?oh=5185bf70a56b7a495bb49db9c785a129&oe=58BD08E3" />
                <link href='http://fonts.googleapis.com/css?family=Electrolize' rel='stylesheet'>
                <script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.1/jquery.min.js"></script>
                <link rel="stylesheet" href="https://ajax.googleapis.com/ajax/libs/jqueryui/1.12.1/themes/smoothness/jquery-ui.css">
                <script src="https://ajax.googleapis.com/ajax/libs/jqueryui/1.12.1/jquery-ui.min.js"></script>

                <style>
                    body { font-family: 'Electrolize'; text-align: center; background: #333 url(http://static.tumblr.com/maopbtg/a5emgtoju/inflicted.png) repeat; color: white;}
                    .title { display: block; margin-bottom: 0; font-size: 300%; overflow-y: hidden;}
                    form { text-align: center; margin-top: 30px;}
                    input, textarea { border: none; font-family: 'Courier';}
                    .result { width: 75%; text-align: left; background: rgba(102, 102, 102, 0.1); position: relative; padding: 25px; border-radius: 10px; margin: auto;}
                    .result a { color: lime; }
                    a { text-decoration: none; }
                    .url { background: transparent; color: white;   font-weight: bold;  font-size: 28px; border-bottom: 3px solid white; text-align: center;
                            padding-left: 10px; padding-right: 10px; padding-top: 5px; padding-bottom: 5px; margin: 10px; width: 37%;}
                    .url:focus { border: none; border-bottom: 3px solid lime; outline: none; }
                    textarea {  background: transparent; padding: 15px; margin: 10px; border-radius: 10px;  border: 3px dashed white; color: white; width: 37%;
                            height: 260px;  font-size: 18px; }
                    textarea:focus { border: 3px dashed lime; outline: none; }
                    .submit { margin: 15px; padding: 10px;  background: #609af7; width: 15%; border: none;  border-radius: 5px; font-size: 20px; color: white; cursor: pointer; outline: none;}
                    .submit:hover { background: #2574f4; outline: none;}
                    .l{ margin-top: 0; }
                    .l a { color: white; }
                    a:hover { color: cornflowerblue; }
                    .footer a { color: white; }
                    .footer {bottom: 0; width: 100%;}
                    #popup { display: none; font-family: 'Electrolize'; border: none;}
                    .what {padding: 5px 15px 5px 15px; margin: auto; line-height: 55px; background: gray; border-radius: 15px; cursor: help;}
                    i { font-size: 12px; }
                </style>
                <script>
                    $(document).ready(function() {
                        $('#popup').dialog({
                            autoOpen: false,
                            width: 855,
                            height: 112,
                            resizable: false,
                            draggable: false,
                            height: "auto",
                            show: {
                                effect:"bounce",
                                duration: 1000
                                  },
                            hide: {
                                effect: "explode",
                                duration: 1000
                                  },
                            modal: true,
                            buttons: {
                                    Ok: function() {
                                            $(this).dialog('close');
                                        }
                                     }
                        });
                        $('.what').click(function() {
                            $('#popup').dialog('open');
                        });
                    });
                </script>
    </head>
    <body>
        <div id="popup" title="URL Fuzzer">
            <p>The URL Fuzzer can be used to find hidden files and directories on a web server by fuzzing.<br>This is a discovery activity which allows you to discover resources that were not meant to be publicly accessible.<p><br>
            <i>PS: I recommend to put a slash in the end of every word on your directory wordlist. ex: kewl/</i>
        </div>

        <h1 class="title">PureHackers URL Fuzzer</h1>
        <hr width="30%">
        <p1 class="l">Developed by: <a class='spade' href='https://spade.byethost4.com/' target="_blank">Spade</a></p1><br>
        <p1 class="what">What is this?</p1><br>
        <form method="POST" autocomplete="off">
            <input class="url" type="url" name="url" placeholder="ex: https://beeg.com/" required maxlength="100" title="Place Hostname Here"/><br>
            <textarea name="dir" placeholder="Paste Your Wordlist here. ex: index.php or admin | one line per word :)" required /></textarea>
            <input type="hidden" name="token" value="<?=$token?>" required /><br>
            <input type="submit" class="submit" value="Let's Start"><br></form>
            <br>

            <?
                    if(isset($_POST['url'], $_POST['dir'], $_POST['token'], $_COOKIE['csrf_token'])){
                        $url = filter_var($_POST['url'], FILTER_SANITIZE_URL);
                        $urlx = rtrim($url, "/");
                        $dir = explode("\n", htmlspecialchars($_POST['dir']));
                        $cookie = filter_var(htmlspecialchars($_COOKIE['csrf_token']), FILTER_SANITIZE_STRING);
                        $csrf_token = filter_var(htmlspecialchars($_POST['token']), FILTER_SANITIZE_STRING);

                        if($cookie != $token):
                            die("INVALID CSRF TOKEN, Please Refresh the Page and try again!");
                        endif;

                        echo "<div class=\"result\"><h2>Fetched Headers</h2><br>";
                        echo headers($urlx);
                        sleep(2);
                        echo "<br><h2>Bruteforce {$url} Directories/Files</h2>";
                        foreach($dir as $dirs):
                            ob_flush();
                            flush();
                            $dirz = @trim(filter_var($dirs, FILTER_SANITIZE_STRING));
                            echo brutedir($urlx,$dirz)."<br>";
                            ob_end_flush();// thanks to my friend at 3xtr4ct cyber army for helping me outta here :v
                        endforeach;
                        echo "</div>";
                    }
                ?>

        <br>
        <div class=footer>
            <p1> Dont have any wordlist of Files and Directories? <a href="http://thireus.frenchdev.com/SharedFiles/WordLists/WordLists-20111129.zip">Go Here</a></p1><br>
            <p1>&copy; Copyright Spade <?=date('Y')?></p1>
        </div>
    </body>
</html>