<返回更多

黑客“御用”扫描神器W3AF

2019-10-24    
加入收藏

核心模块负责进程的调度和插件的使用, 插件部分则负责查找并攻击 Web安全漏洞。

插件部分根据功能的 不同, 又分为8类模块, 包括: 发现模块(discovery)、审计模块

(audit)、搜索模块(grep)、攻击模块(attack)、输出模块(output)、修改模块(mangle),入侵模块(evasion)、破解模块(bruteforce)

黑客“御用”扫描神器W3AF

 

每一类模块都有自己独特的功能, 有些类别的模块在一次漏洞 扫描过程中是不可或缺 的, 首先是 发现类模块, 该类模块负责查找HTTP信息, 并探测服务器、数据库、Web应用防火墙等信息, 例如 halberd、hmap、afd、fmgetprint等信息, 在扫描过程中需要进行配

置。 在发现类模块中, 最重要的插件是 webSpider, 它基于爬虫技术爬取网站的每个链接和表单, 这是后面进行漏洞探测不可或缺的信息。

今天我们演示W3AF开源工具的使用方法。W3AF有着两种工作模式:命令行与用户界面。

今天所用的是kali实验环境。

首先我们安装w3af

从git仓库下载w3af

输入git clone https://github.com/andresriancho/w3af.git

黑客“御用”扫描神器W3AF

 

ls查看当前目录,发现w3af,进入,ls当前文件

黑客“御用”扫描神器W3AF

 

执行命令./w3af_gui

黑客“御用”扫描神器W3AF

 

会提示需要安装的依赖,并在/tmp下面生成执行命令./w3af_dependency_install.sh

运行他给出的脚本

黑客“御用”扫描神器W3AF

 

这样我们w3af的环境就搭配好了

然后我们进入命令行

./w3af_console

除了攻击插件之外,所有插件都可以使用plugins这个配置菜单进行配置。

黑客“御用”扫描神器W3AF

 

假设要启用xss和sqli插件,需要用到以下命令:

Audit xss,sqli

Audit

黑客“御用”扫描神器W3AF

 

Audit desc xss

黑客“御用”扫描神器W3AF

 

配置菜单可以使用view列出配置参数和值说明也可以使用set进行修改,如修改True为false:

黑客“御用”扫描神器W3AF

 

保存配置:

黑客“御用”扫描神器W3AF

 

下面我们开始扫描:

配置命令如下:

黑客“御用”扫描神器W3AF

 

设置输出报告:

黑客“御用”扫描神器W3AF

 

设置目标,开始扫描——target,start

w3af>>> target

w3af/config:target>>> set target http://ip/

w3af/config:target>>> back

w3af>>> start

这样我们就可以直接得到报告结果了

那么今天的文章就当这里

想学习更多的技术文章请关注vx公众号:安界网

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>