- 浏览: 277546 次
文章分类
- 全部博客 (276)
- burp+hydra暴力破解 (1)
- kali linux工具集 (6)
- kali (59)
- linux (54)
- password (14)
- web (63)
- 渗透测试 (50)
- windows (40)
- metasploit (9)
- 信息收集 (32)
- burp suit (4)
- 安全审计 (9)
- https://github.com/secretsquirrel/the-backdoor-factory (0)
- nmap (4)
- arachni (2)
- 工具 (5)
- sql (3)
- 网络 (2)
- 后渗透测试 (10)
- 内网 (5)
- 无线 (2)
- C (3)
- bios (1)
- RoR (12)
- mongodb (1)
- linxu (1)
- gdb (1)
- linux,虚拟化 (1)
- python (4)
最新评论
原文链接:http://resources.infosecinstitute.com/w3af-tutorial-2/
本文我们将继续学习如何使用w3af的discovery和audit插件来进行web漏洞扫描和相应的漏洞利用。同时我们将学习各种w3af使用的技术来发现这些漏洞。本文我们使用gui版本。
Web Security Dojo
进行测试w3af的时候,首先也是最重要的是要有一个测试环境以及测试工具。Web Security Dojo是一个有web漏洞的VM。在这些漏洞环境中有一个“w3af Test Environment”,这个就是用于w3af单元测试的环境。默认的Web Security Dojo安装了w3af控制台版本和gui版本。可以从这里下载http://sourceforge.net/projects/websecuritydojo/files/
下载之后,跳转到Applications–>Targets–>w3af Test Environment,可以看到如下画面:
注意:即使Web Security Dojo对于w3af测试十分有用,我也推荐使用BT5来进行测试。 Web Sec Dojo is的主要问题是它没有最新的w3af版本。
Audit Plugins
我们看看w3af测试环境中Audit部分。我们可以看到,页面基于基本漏洞分成不同种类。
如果我们转向Cross Site Script,我们可以看到有一些含有CSS漏洞的连接。
因此下一步是把url设定给w3af,并且进行XSS扫描。打开w3afGUI,左边可以看见我们可以选择的配置文件。
我们可以根据所需时间来选择任何配置文件。这些配置文件是为某些任务配置的含有特定的配置参数的文件。如果我们打开OWASP_TOP10,我们可以看见几个已经选中的Audit,Grep,以及Discovery插件。
我们将会使用一个Empty profile,因为我们系那个检查单个url的XSS漏洞。注意,这个例子不同我们通常使用w3af的场景。在现实环境中,我们将会选择一些特定的discovery插件来查找不同的url注入点,auth插件来自动登录表单,以及预先爬虫,grep插件来查找响应中的有用的信息,以及audit插件来扫描注入点中的漏洞。
在target域中输入url,从audit插件中选择xss插件
然后点击start开始扫描给定的url。从输出可以看见发现的XSS漏洞。
如果你想知道发生了什么,转到Result标签。点击左边的xss,在右边,你可以看到关于漏洞是如何发现的描述。在右下方,同时可以看见导致识别漏洞的请求和应答。通过查看请求/应答可以帮我们了解究竟发生了什么。
w3af发送javascript字符串到url中的每一个参数,然后检查应答中的这些字符串。对于存储性XSS,w3af记录注入的字符串,然后再次请求url来查找相应的字符串。如果找到,那么就是XSS漏洞。
现在我们使用OS commanding漏洞来获得系统上的一个shell。在w3af测试环境中的OS commanding部分,选择一个url,用它来设定w3af的target。在audit插件部分,选择OS commanding插件。
然后点击start开始扫描,从输出中可以看到,w3af识别出OS commanding漏洞。
w3af支持检查simple和blind OS commanding漏洞。在simpleOScommanding中,它发送简单的命令到每一个参数然后检查相应中那个命令的输出。在blind OS commanding时,命令的相应不会出现在输出中,它使用时间延迟来识别漏洞是否存在。例如如果它发送延迟数秒的命令,并且我们发现了延迟,那么我们可以说存在blind OS commanding漏洞。
在Result部分,我们可以看到导致延迟漏洞的请求和应答。
w3af同时允许我们利用漏洞。如果我们转到Exploit部分,我们可以看见Vulnerabilities部分的已识别漏洞。如果我们点击它,我们可以看见Exploit部分的osCommandignShell变黑。这指示漏洞可以通过osCommandignShell插件被使用。右击osCommandignShell,点击 Exploit ALL vulns.
如果漏洞成功利用,我们可以获得目标机的一个shell。我们可以从右边看到shell列表。注意,每个漏洞都获得一个shell是不可能的。
双击shell即可使用
类似地,我们使用一个文件上传漏洞来获得一个shell。设定w3af的目标,点击audit中的fileUpload插件。
确保检查fileUpload插件的extensions选项。某些场合下,web只允许某些特定的后缀。
点击start,我们可以看到w3af识别出一个文件上传漏洞
点击Result标签,可以看见w3af试图上传一个w3af_dt4LqT.html文件。它通过在uplaodfile参数中发送一个文件对象,然后在一些通常的文件夹中查找这些文件,如果找到文件,那么就定义为文件上传漏洞。由于大多数web程序基于扩展名过滤文件,所以为了绕过检查,w3af有一些通用扩展名模板,这些模板有一个合法的扩展名但是有一个可以被替换为代码的section。这些模板位于kali的/usr/share/w3af/plugins/audit/fileUpload下图为w3af中不同扩展名文件模板
如果我们使用Kate打开这些文件,我们可以看到他们的内容。下图可以看到,template.png有一连串的A在comment section。他们可以被替换为脚本,例如php。
有了这些基础,现在利用fileUploadShell plugin来利用漏洞。可以通过右击他们,选中Configure the plugin来设置参数。
下图所示,漏洞利用成功
类似地,可以进行许多其他的测试,例如Local File Inclusion,Remote File Inclusion, SQL Injection等。
Discovery插件
在之前的测试中,我们都是用给定的一个有漏洞的url作为目标。然而,现实生活中的漏洞扫描不是这样的。web扫描器应该有能力自动识别不同的url。这些url将会用于不同的注入点。
最流行的两个discovery插件是webSpider和SpiderMan。基本上,webSpider用于给定一个url,从相应中提取连接或form。使用这些连接,它爬虫寻找更多的连接(可能的注入点)。另一个插件SpiderMan对于Javascript/Flash的网站是一个非常有用的插件,基本上,如果web使用Javascript等技术,web爬虫很难抓取连接。实际上,大多数的爬虫完全忽略Javascript。因为他们没法知道J这些avascript的作用。大多数的web爬虫仅仅抓取注入连接,表单等这些静态信息。当webSpider发现一个login表单时,如果使用了auth插件,那么它将会自动插入相关信息,并且继续爬虫。
当web应用程序使用Javascript或Flash时,应该使用spiderMan插件。spiderMan启动一个代理,然后user应该通过代理点击链接。根据user的点击,spiderMan插件能够识别不同的注入点然后发送到audit插件进行漏洞扫描。spiderMan的另一个重要特点是它能保存cookie,并且重复使用他们。如果我们使用spiderMan代理并且login一个表单并且收到一个cookie。spiderMan插件将会把cookie发送到其他从插件,从而可以爬虫其他的应用。
来试试webSpider插件。设定url,确保webSpider是discovery插件中唯一使用的一个插件,点击start
从log标签里面可以看到webSpider已经识别出一些新的url。下图给出一些详细信息。
随着扫描的进行,转到Result标签,点击链接。如下图所示,w3af生成了web应用的图形结构。在左手边,点击+号,显示每个分支的详细信息。
来做一个关于webSpider的另一个实验。把target设为dvwa的login页面,选择webSpider插件,开始运行。我们得到如下的结果。
然而这个是不正确的。因为DVWA有一系列的漏洞文件夹。但是webSpider没法爬虫他们,因为需要输入登录表单。
这时spiderMan插件登场。SpiderMan和webSpider配合使用是一个很好的建议。这是由于SiderMan可以帮我们达到webSpider去不了的地址,而webSpider爬虫可以继续从这些地方爬虫。
现在我们同时使用Siderman和webSpider插件。确保设置监听地址和端口。
然后配置浏览器使用SpiderMan作为代理。如果我们需要结束SpiderMan插件,我们需要浏览一个如下图所示的特殊url
现在配置浏览器使用SpiderMan作为代理。
然后登录dvwa应用(admin/password),开始浏览不用的url。可以看到这些请求被spiderMan插件记录
结束spiderMan插件,跳到下图地址
然后SpiderMan插件将会终止,所有的信息都会传递到其他的不同插件。下图所示,webSpider利用spiderMan提供的信息发现了一些新的url
如果我们看看应用结构,我们看到正确的文件结构以及识别出的漏洞
本文我们将继续学习如何使用w3af的discovery和audit插件来进行web漏洞扫描和相应的漏洞利用。同时我们将学习各种w3af使用的技术来发现这些漏洞。本文我们使用gui版本。
Web Security Dojo
进行测试w3af的时候,首先也是最重要的是要有一个测试环境以及测试工具。Web Security Dojo是一个有web漏洞的VM。在这些漏洞环境中有一个“w3af Test Environment”,这个就是用于w3af单元测试的环境。默认的Web Security Dojo安装了w3af控制台版本和gui版本。可以从这里下载http://sourceforge.net/projects/websecuritydojo/files/
下载之后,跳转到Applications–>Targets–>w3af Test Environment,可以看到如下画面:
注意:即使Web Security Dojo对于w3af测试十分有用,我也推荐使用BT5来进行测试。 Web Sec Dojo is的主要问题是它没有最新的w3af版本。
Audit Plugins
我们看看w3af测试环境中Audit部分。我们可以看到,页面基于基本漏洞分成不同种类。
如果我们转向Cross Site Script,我们可以看到有一些含有CSS漏洞的连接。
因此下一步是把url设定给w3af,并且进行XSS扫描。打开w3afGUI,左边可以看见我们可以选择的配置文件。
我们可以根据所需时间来选择任何配置文件。这些配置文件是为某些任务配置的含有特定的配置参数的文件。如果我们打开OWASP_TOP10,我们可以看见几个已经选中的Audit,Grep,以及Discovery插件。
我们将会使用一个Empty profile,因为我们系那个检查单个url的XSS漏洞。注意,这个例子不同我们通常使用w3af的场景。在现实环境中,我们将会选择一些特定的discovery插件来查找不同的url注入点,auth插件来自动登录表单,以及预先爬虫,grep插件来查找响应中的有用的信息,以及audit插件来扫描注入点中的漏洞。
在target域中输入url,从audit插件中选择xss插件
然后点击start开始扫描给定的url。从输出可以看见发现的XSS漏洞。
如果你想知道发生了什么,转到Result标签。点击左边的xss,在右边,你可以看到关于漏洞是如何发现的描述。在右下方,同时可以看见导致识别漏洞的请求和应答。通过查看请求/应答可以帮我们了解究竟发生了什么。
w3af发送javascript字符串到url中的每一个参数,然后检查应答中的这些字符串。对于存储性XSS,w3af记录注入的字符串,然后再次请求url来查找相应的字符串。如果找到,那么就是XSS漏洞。
现在我们使用OS commanding漏洞来获得系统上的一个shell。在w3af测试环境中的OS commanding部分,选择一个url,用它来设定w3af的target。在audit插件部分,选择OS commanding插件。
然后点击start开始扫描,从输出中可以看到,w3af识别出OS commanding漏洞。
w3af支持检查simple和blind OS commanding漏洞。在simpleOScommanding中,它发送简单的命令到每一个参数然后检查相应中那个命令的输出。在blind OS commanding时,命令的相应不会出现在输出中,它使用时间延迟来识别漏洞是否存在。例如如果它发送延迟数秒的命令,并且我们发现了延迟,那么我们可以说存在blind OS commanding漏洞。
在Result部分,我们可以看到导致延迟漏洞的请求和应答。
w3af同时允许我们利用漏洞。如果我们转到Exploit部分,我们可以看见Vulnerabilities部分的已识别漏洞。如果我们点击它,我们可以看见Exploit部分的osCommandignShell变黑。这指示漏洞可以通过osCommandignShell插件被使用。右击osCommandignShell,点击 Exploit ALL vulns.
如果漏洞成功利用,我们可以获得目标机的一个shell。我们可以从右边看到shell列表。注意,每个漏洞都获得一个shell是不可能的。
双击shell即可使用
类似地,我们使用一个文件上传漏洞来获得一个shell。设定w3af的目标,点击audit中的fileUpload插件。
确保检查fileUpload插件的extensions选项。某些场合下,web只允许某些特定的后缀。
点击start,我们可以看到w3af识别出一个文件上传漏洞
点击Result标签,可以看见w3af试图上传一个w3af_dt4LqT.html文件。它通过在uplaodfile参数中发送一个文件对象,然后在一些通常的文件夹中查找这些文件,如果找到文件,那么就定义为文件上传漏洞。由于大多数web程序基于扩展名过滤文件,所以为了绕过检查,w3af有一些通用扩展名模板,这些模板有一个合法的扩展名但是有一个可以被替换为代码的section。这些模板位于kali的/usr/share/w3af/plugins/audit/fileUpload下图为w3af中不同扩展名文件模板
如果我们使用Kate打开这些文件,我们可以看到他们的内容。下图可以看到,template.png有一连串的A在comment section。他们可以被替换为脚本,例如php。
有了这些基础,现在利用fileUploadShell plugin来利用漏洞。可以通过右击他们,选中Configure the plugin来设置参数。
下图所示,漏洞利用成功
类似地,可以进行许多其他的测试,例如Local File Inclusion,Remote File Inclusion, SQL Injection等。
Discovery插件
在之前的测试中,我们都是用给定的一个有漏洞的url作为目标。然而,现实生活中的漏洞扫描不是这样的。web扫描器应该有能力自动识别不同的url。这些url将会用于不同的注入点。
最流行的两个discovery插件是webSpider和SpiderMan。基本上,webSpider用于给定一个url,从相应中提取连接或form。使用这些连接,它爬虫寻找更多的连接(可能的注入点)。另一个插件SpiderMan对于Javascript/Flash的网站是一个非常有用的插件,基本上,如果web使用Javascript等技术,web爬虫很难抓取连接。实际上,大多数的爬虫完全忽略Javascript。因为他们没法知道J这些avascript的作用。大多数的web爬虫仅仅抓取注入连接,表单等这些静态信息。当webSpider发现一个login表单时,如果使用了auth插件,那么它将会自动插入相关信息,并且继续爬虫。
当web应用程序使用Javascript或Flash时,应该使用spiderMan插件。spiderMan启动一个代理,然后user应该通过代理点击链接。根据user的点击,spiderMan插件能够识别不同的注入点然后发送到audit插件进行漏洞扫描。spiderMan的另一个重要特点是它能保存cookie,并且重复使用他们。如果我们使用spiderMan代理并且login一个表单并且收到一个cookie。spiderMan插件将会把cookie发送到其他从插件,从而可以爬虫其他的应用。
来试试webSpider插件。设定url,确保webSpider是discovery插件中唯一使用的一个插件,点击start
从log标签里面可以看到webSpider已经识别出一些新的url。下图给出一些详细信息。
随着扫描的进行,转到Result标签,点击链接。如下图所示,w3af生成了web应用的图形结构。在左手边,点击+号,显示每个分支的详细信息。
来做一个关于webSpider的另一个实验。把target设为dvwa的login页面,选择webSpider插件,开始运行。我们得到如下的结果。
然而这个是不正确的。因为DVWA有一系列的漏洞文件夹。但是webSpider没法爬虫他们,因为需要输入登录表单。
这时spiderMan插件登场。SpiderMan和webSpider配合使用是一个很好的建议。这是由于SiderMan可以帮我们达到webSpider去不了的地址,而webSpider爬虫可以继续从这些地方爬虫。
现在我们同时使用Siderman和webSpider插件。确保设置监听地址和端口。
然后配置浏览器使用SpiderMan作为代理。如果我们需要结束SpiderMan插件,我们需要浏览一个如下图所示的特殊url
现在配置浏览器使用SpiderMan作为代理。
然后登录dvwa应用(admin/password),开始浏览不用的url。可以看到这些请求被spiderMan插件记录
结束spiderMan插件,跳到下图地址
然后SpiderMan插件将会终止,所有的信息都会传递到其他的不同插件。下图所示,webSpider利用spiderMan提供的信息发现了一些新的url
如果我们看看应用结构,我们看到正确的文件结构以及识别出的漏洞
发表评论
-
kali 2.0 broadcom wifi connection
2015-12-12 16:28 411引用apt-get install -y linux-head ... -
kali2.0中国源
2015-09-27 01:42 422#中科大kali源 deb http://mirrors.us ... -
linux 安装scrapy
2015-09-07 13:06 565由于scrapy对python3支持不是很好,所以使用pyth ... -
nginx reverse proxy cofinguration
2015-08-28 15:18 394based on our case, we need to h ... -
wpscan
2015-08-01 10:39 400https://www.digitalocean.com/co ... -
[转]Tunneling Data and Commands Over DNS to Bypass Firewalls
2015-07-13 20:44 456https://zeltser.com/c2-dns-tunn ... -
arachni-web-ui使用
2015-06-10 01:04 2115最近在玩儿arachni,想试试arachni-ui-web, ... -
linux dd命令
2015-06-06 14:29 342dd if=/dev/hda of=disk.mbr coun ... -
HACKING NODEJS AND MONGODB
2015-06-04 23:52 308http://blog.websecurify.com/201 ... -
php object inject
2015-05-29 00:45 317解释: http://securitycafe.ro/2015 ... -
[转]Forcing XXE Reflection through Server Error Messages
2015-05-19 01:10 412原文地址:https://blog.netspi.com/fo ... -
CVE-2011-2461
2015-03-31 01:19 387http://blog.nibblesec.org/2015/ ... -
[译]从配置错误的web server中dump git数据
2015-03-26 01:07 536原文地址:https://blog.netspi.com/du ... -
[译]解密MSSQL密码
2015-03-26 00:43 2819原文地址: https://blog.ne ... -
自动化Man-in-the-Middle SSHv2攻击
2015-03-18 01:26 1013参考:http://www.david-guembel.de/ ... -
[转]Microsoft Access sqli
2015-03-18 00:57 401https://milo2012.wordpress.com/ ... -
[转]sqlmap注入Microsoft Access
2015-03-18 00:49 1554https://github.com/sqlmapprojec ... -
Wine中使用MinGW
2015-03-17 00:49 623原文:http://null-byte.wonderhowto ... -
crossdomain.xml
2015-03-12 01:23 620参考: https://hackerone.com/repor ... -
[译]使用wireshark解密TLS浏览器流量
2015-03-12 00:57 4023原文地址:https://jimshaver.net/2015 ...
相关推荐
w3af命令使用中文说明文档
w3af Windows版本,安装的时候需要python环境,如何安装python自行百度。
w3af是一个Web应用安全的攻击、审计(分析)平台,通过增加插件来对功能进行扩展,这是一款用python写的工具,支持GUI,也支持命令行模式。 w3af目前已经集成了非常多的安全审计及攻击插件,并进行了分类,用户在...
w3af是一个集漏洞扫描,攻击于一体的平台,使用python写成,是一款开源软件。本文档介绍了w3af的基本使用方法。
w3af用户帮助文档
最新版w3af,一个开源python Web应用程序安全扫描程序。解决ubuntu,kali下安装w3af错误问题。
W3af是一个基于Python的Web应用扫描器,本期带来w3af的安装和使用。
centos7上安装w3af方法
w3af_1.0安装包,是一个比较老的版本。不知道怎么回事,变成6积分了,开始设定的事最低,想改成0积分,不知道可不可以,先试一下。摘要还要50字以上
w3af, is a Web Application Attack and Audit Framework. The w3af core and it's plugins are fully written in python. The project has more than 130 plugins, which check for SQL injection, cross site ...
BT5中安装的最新版本W3AF 扫描神器,可以直接对扫描的漏洞进行注入测试,一款软件集合平台
w3af---web应用安全工具
w3af REST API w3af的REST API的Docker映像(nginx)受监管。 好处 大多数用户只能从使用./w3af_api ,但高级用户可能需要具有可以处理更多流量的环境,在服务关闭时自动重新启动服务等。 运行此图像 sudo docker ...
web安全工具,W3af是一个基于Python的Web应用扫描器。
w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用...
w3af的强大之处就在于他的插件数很多,需要灵活的利用
E020-渗透测试常用工具-使用w3af进行Web应用安全漏洞测试
网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。网络攻防相关,欢迎下载。
w3af的高级用法,包括脚本扫描,登陆扫描等其他高级技巧。
介绍将w3af安装为Python模块的工具。 setup.py文件仅在尝试围绕w3af创建某种类型的包装并将其用作模块时才有用。 该文件不包括在主要的w3af发行版中,因为普通用户不需要它。用法要将w3af安装为模块,必须遵循以下...