| 关键词: 模块 插件 配置 命令 W3AF target 信息 af 攻击 今天 |
黑客"御用"扫描神器W3AF 核心模块负责进程的调度和插件的使用, 插件部分则负责查找并攻击 Web安全漏洞。 插件部分根据功能的 不同, 又分为8类模块, 包括: 发现模块(discovery)、审计模块 (audit)、搜索模块(grep)、攻击模块(attack)、输出模块(output)、修改模块(mangle),入侵模块(evasion)、破解模块(bruteforce) ![]() 每一类模块都有自己独特的功能, 有些类别的模块在一次漏洞 扫描过程中是不可或缺 的, 首先是 发现类模块, 该类模块负责查找HTTP信息, 并探测服务器、数据库、Web应用防火墙等信息, 例如 halberd、hmap、afd、fmgetprint等信息, 在扫描过程中需要进行配 置。 在发现类模块中, 最重要的插件是 webSpider, 它基于爬虫技术爬取网站的每个链接和表单, 这是后面进行漏洞探测不可或缺的信息。 今天我们演示W3AF开源工具的使用方法。W3AF有着两种工作模式:命令行与用户界面。 今天所用的是kali实验环境。 首先我们安装w3af 从git仓库下载w3af 输入git clone https://github.com/andresriancho/w3af.git ls查看当前目录,发现w3af,进入,ls当前文件 ![]() 执行命令./w3af_gui ![]() 会提示需要安装的依赖,并在/tmp下面生成执行命令./w3af_dependency_install.sh 运行他给出的脚本 ![]() 这样我们w3af的环境就搭配好了 然后我们进入命令行 ./w3af_console 除了攻击插件之外,所有插件都可以使用plugins这个配置菜单进行配置。 ![]() 假设要启用xss和sqli插件,需要用到以下命令: Audit xss,sqli Audit Audit desc xss ![]() 配置菜单可以使用view列出配置参数和值说明也可以使用set进行修改,如修改True为false: 保存配置: 下面我们开始扫描: 配置命令如下: ![]() 设置输出报告: 设置目标,开始扫描——target,start w3af>>> target w3af/config:target>>> set target http://ip/ w3af/config:target>>> back w3af>>> start 这样我们就可以直接得到报告结果了 那么今天的文章就当这里 想学习更多的技术文章请关注vx公众号:安界网 |
| 本文出处: https://www.toutiao.com/a6750947402758226445/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|