簡介:
w3af是乙個開放原始碼的 web應用程式的安全性掃瞄器。通過增加外掛程式來對功能進行擴充套件,這是一款用pyhon寫的工具,可以檢視所有的源**,它提供了有關用於滲透測試活動的安全漏洞的資訊。掃瞄器提供圖形使用者介面(gui)和命令列介面。
主要外掛程式型別
w3af框架有三個主要的外掛程式型別:crawl(抓取外掛程式),audit(審計外掛程式),attack(攻擊外掛程式)
抓取外掛程式:其只負責一件事情,就是搜尋新的url,表單和其他注入點(injection points),web spoder便是乙個經典的漏洞挖掘外掛程式.這個外掛程式以乙個url為輸入,然後的到乙個或多個注入點.當使用者使用這種型別的外掛程式時,這些外掛程式會進行這樣的迴圈:如果外掛程式a在第一次執行時發現了乙個新的url,w3af核心將這個url傳遞給外掛程式b,如果外掛程式b發現乙個新的url,w3af核心將這個url傳遞給a.這個過程將一直持續下去,所有的外掛程式都將執行工作,占用應用資源,直到無法執行漏洞挖掘應用.
審計外掛程式:獲取那些有漏洞挖掘外掛程式找到的注入點,為了發現漏洞,漏洞分析外掛程式會向所有可注入點傳送特別設計的資料.例如使用乙個漏洞分析外掛程式來獲取sql注入的漏洞
攻擊外掛程式:他們的目標是利用審計外掛程式發現的漏洞.他們通常在遠端伺服器上返回shell,或者在sql注入漏洞的情況下返回遠端表的轉儲
其他外掛程式:
基礎裝置:確定有關目標系統的資訊,例如已安裝的waf(web應用防火牆),作業系統和http守護程式
grep篩選:分析由其他外掛程式傳送的http請求和響應,並識別漏洞,例如,grep外掛程式會在html正文中找到包含」password」一詞的注釋並生成漏洞.
output輸出:框架和外掛程式與使用者通訊的方式.輸出外掛程式將資料儲存為text,xml或html檔案,除錯資訊也會傳送到輸出外掛程式,則兩者都將記錄審計外掛程式的任何漏洞
bruteforce暴力破解:暴力破解
evasion逃避:通過修改其他外掛程式生成的http流量來躲避簡單的入侵檢測規則(躲避ids,ips檢測).
auth:進行身份認證
在kali2.0安裝w3af(自帶版本執行掃瞄時一直是掛死狀態)
1,root@kali:~# cd #切換到主目錄,官方指定在主目錄下安裝
2,root@kali:~# apt-get update #更新
#推薦官方源:
deb
.org/kali kali-rolling main non-free contrib
deb-src
.org/kali kali-rolling main non-free contrib
3,root@kali:~# apt-get install python-pip -y #安裝python-pip
4,pip install --upgrade pip #將pip公升級到最新版
git clone
6,cd w3af-master #進入其目錄
7, ./w3af_console # 啟動w3af命令列介面,發現還需要一些依賴包未安裝,
首先安裝npm
apt-get install npm(使用指令碼安裝的時候需要此軟體)
8,切換/tmp目錄下,執行w3af_dependency_install.sh
apt-get build-dep python-lxml #需要先安裝此軟體,系統未提示安裝,但不安裝便會報錯
cd /tmp
./w3af_dependency_install.sh(通過shell指令碼一併安裝所需的安裝包)
安裝出現successful的時候證明其命令列介面安裝成功
cd /root/w3af-master#切換w3af目錄
./w3af_console #執行這條命令即可使用w3af命令列介面
w3af>>>
9,cd /root/w3af-master #切換到w3af目錄
./w3af_gui #執行w3af圖形介面命令,發現也報錯,然後我們
cd /tmp
./w3af_dependency_install.sh(通過shell指令碼一併安裝所需的安裝包)這個檔案和安裝圖形介面的檔案內容不同
安裝成功之後,切換/root/w3af-master
執行w3af圖形介面命令: ./w3af_gui
如果報錯顯示以下內容:
importerror: no module named webkit
wget
.debian
.org/debian/pool/main/p/python-support/python-support_1.0
.15_all.deb
dpkg -i python-support_1.0
.15_all.deb
wget
.debian
.org/debian/pool/main/p/pywebkitgtk/python-webkit_1.1
.8-3_amd64.deb
dpkg -i python-webkit_1.1
.8-3_amd64.deb
apt install python-gtk2-dev
wget
.debian
.org/debian/pool/main/p/pywebkitgtk/python-webkit-dev_1.1
.8-3_all.deb
dpkg -i python-webkit-dev_1.1
.8-3_all.deb
安裝過程中可能需要安裝相關依賴,可執行如下命令
apt --fix-broken install
apt-get install python-webkit python-webkit-dev
.io/2017/11/08/kali-w3af-bug/)
Kali2 0安裝後配置
1.更新源 備份軟體源sources.list檔案,然後修改sources.list檔案,在終端輸入 gedit etc apt sources.list 官方源 deb kali main non free contrib deb src kali main non free contrib de...
kali2 0怎麼安裝dnsdict6?
最近兩天在學習有關dns的資訊收集工具,發現不少好用的工具,例如 dnsenum,dnsrecon,fierce等。看到網上推薦 dnsdict6這個工具,但發現新版的 kali 上竟然沒有這個命令 在虛擬機器直接wget 沒想到出現證書錯誤。最後 tar zvxf thc ipv6 2.7.tar...
kali2 0安裝虛擬機器工具
kali2.0無法安裝虛擬機器工具,顯示vmware tools無法用於該虛擬機器,或者安裝之後無法進行複製 貼上等操作。解決辦法 step1 更換源 root starnight vim etc apt sources.list deb kali rolling main non free con...