Kali Linux渗透测试 077 扫描工具-w3af 截断代理

最新推荐文章于 2023-04-06 11:23:11 发布
最新推荐文章于 2023-04-06 11:23:11 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: kali-linux 文章标签: kali-linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kevinhanser/article/details/79464950
版权

本文记录 Kali Linux 2017.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程
Kali Linux渗透测试(苑房弘)075 扫描工具-w3af_console
Kali Linux渗透测试(苑房弘)076 扫描工具-w3af 身份认证
1. 截断代理 (另类的身份认证方法)
2. 截断代理 (修改请求)
3. 插件中使用截断代理
4. output 输出插件
5. exploit

1.截断代理 (另类的身份认证方法)

利用 HTTP header 来进行身份认证

  • 打开截断代理界面

    查看发现是 8080 端口,并且已经在监听了

  • 浏览器设置 w3af 代理

  • 浏览器登录 http://172.16.10.132/dvwa

  • w3af 查看截断的信息

  • 复制下面的内容

  • 保存至文件

  • 启动身份验证

  • 扫描插件

    audit --> csrf && xss && sqli
crawl --> web_spider(only_forward)

2. 截断代理 (修改请求)

  • 手动修改请求并提交

  • 手动模糊测试

    批量测试:

    查看表达式帮助

    批量测试:

    两个字母:

    引用字典文件:

    找一个字典:

    替换字典:

3. 插件中使用截断代理

  • 选择插件

    选择 crawl -->  spider man 插件进行设置代理

  • 浏览器设置代理


  • 手动爬取站点

    登录网站 http://172.16.10.133/dvwa/
手动点击任何能找到的链接,在任何表单的地方可以输入任何字符以用于验证漏洞

  • 结束代理然后进行漏洞扫描

    • 然后自动开始扫描

4. output 输出插件

  1. 选择插件:export_requests3

    • 设置输出路径及文件名

    • 选择crawl 的import_requests 可以设置输出文件

    • 默认使用 base64 编码

    • 使用 crawl 的 import_results 插件可以再导入这个文件

5. exploit

  • 在扫描完成之后,在 result 里可以看到漏洞列表,在exploit里面可以利用漏洞获取 webshell

  • 开启 w3af 代理

    ![](https://i.imgur.com/A0qhcWE.png)

  • 浏览器访问 dvwa 的 sql 注入页面


  • 代理查看并保存头文件信息为一个文件


  • 指定头文件扫描

    .

    • 扫描结果

    • 查看插入查询的代码

    • 拖拽进行利用漏洞

    • 不确定是该利用哪一个漏洞利用模块,全选模块

    • 执行结果

网络安全打工人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali Linux安全渗透教程新手版
01-12
渗透测试的好工具!!详细讲解kali系统中的各种渗透测试工具的使用方法,很实用。
w3af高级使用.pdf
03-02
w3af的高级用法,包括脚本扫描,登陆扫描等其他高级技巧。
Kali扫描 w3af的使用(一)用户界面和身份认证
胡乱写点什么
07-26 1368
Kali——WEB渗透(六) 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描w3af(一)—— 本篇博客主要介绍w3af的用户界面和身份认证方式,w3af提供了4种身份认证方法和截断代理这一功能。安装w3af的具体教程点击安装教程即可。 一.界面与使用 命令行界面与图形化界面相互对应,功能完全相同。 help:在命令行界面无论位于哪一...
w3af扫描利用SQL注入漏洞
03-22 1632
###w3af简介 w3af是一个比较流行的web漏洞扫描工具,是开源的,目前还在开发更新。大名鼎鼎的渗透专属系统Kali的默认安装的工具。不过2017年的1月份,由于系统支持的原因,w3af已经被暂时移出了Kali系统。 将w3af定义为工具,实际不是非常准确。它的英文的全称是Web App...
分享渗透测试工具使用案例
2301_76161259的博客
04-06 746
或 Web 应用程序框架是主要用于发现漏洞的安全扫描器。可以在几乎 Web 应用程序渗透测试中使用 W3af 来快速探测目标网站及其托管服务器。首先,键入“cd w3af.d”打开 W3af 控制台。进入正确的目录后,输入“./w3af_console”打开 w3af.接下来,输入“target”,“set target xxxx”并回车。输入“back”跳转一个目录,配置将被保存。最后,输入“set plugins”以选择所需的扫描选项。
w3af的使用
shawdow_bug的博客
11-18 6670
一开始测试的是 linux 的最新版 w3af,虽然是最新版,但这个工具也有多年未更新了,可能对实战的实用性已经不高了。另外,因为这款工具基于python2.x 开发的,现在已经到 python3.x 了,连 linux 的 apt 源也已经去掉很多 python2.x 有关的模块和工具了,所以在安装和使用 w3af 的时候,出现了很多问题,导致我放弃了这款工具(不过,windows下的 w3af 还是能使用的,版本低而已)。尽管如此,还是通过这款工具了解一款 web 应用漏洞扫描器的组成部分。 启动 w
W3af详细安装与基本使用
xlsj雪松的博客
08-08 4414
安装 安装过程复杂而艰辛!!!! cd ~ 去根目录下安装 apt-get update pip install --upgrade pip git clone https://github.com/andresriancho/w3af.git cd w3af 安装pybloomfiltermmap sudo apt install -y python-pybloomf...
兽哥出品--->w3af的搭建以及使用
weixin_34074740的博客
12-26 190
w3af是一款中轻量级扫描工具kali下受欢迎程度:⭐⭐⭐⭐这款目前我是在linux下搭建的链接如下:git clone --depth 1 https://github.com/andresriancho/w3af.git cd w3af ./w3af_gui 这儿有可能出现大量错误,安装依赖包:sudo apt-get install build-essential a...
《Metasploit 魔鬼训练营》04 Web 应用渗透测试
kevinhanser
11-07 2299
本文记录 Kali Linux 2017.1 学习使用 Metasploit 的详细过程 1. Web 应用渗透技术基础知识 2. Web 应用漏洞扫描探测 3. Web 应用程序渗透测试 1. OWASP Web 漏洞 TOP 101. SQL 注入 普通注入:根据后台数据库有价值的错误信息,可以轻松的进行注入活动 盲注:没有详细的错误信息时,根据仅有的判断信息对
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.part1.rar)
06-14
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.7z)文件分割成 3个 压缩包,必须集齐3个 文件后才能一起解压一起使用: kali-linux-2022.2-vmware-amd64.part1.rar ... kali-linux-2022.2-vmware-amd64.part2.rar...
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.part3.rar)
06-14
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.7z)文件分割成 3个 压缩包,必须集齐3个 文件后才能一起解压一起使用: kali-linux-2022.2-vmware-amd64.part1.rar ... kali-linux-2022.2-vmware-amd64.part2.rar...
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.part2.rar)
06-14
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.7z)文件分割成 3个 压缩包,必须集齐3个 文件后才能一起解压一起使用: kali-linux-2022.2-vmware-amd64.part1.rar ... kali-linux-2022.2-vmware-amd64.part2.rar...
Kali Linux VirtualBox(kali-linux-2022.2-virtualbox-amd64.part4)
06-14
Kali Linux VirtualBox(kali-linux-2022.2-virtualbox-i386.ova)文件分割成 4个 压缩包,必须集齐4个 文件后才能一起解压一起使用: kali-linux-2022.2-virtualbox-amd64.part1 ...kali-linux-2022.2-virtualbox-amd...
kali-linux-2021.3-installer-amd64.part4.rar
09-29
kali-linux-2021.3-installer-amd64.iso适用于X64位系统,文件分割成 5个 压缩包,必须集齐5个 文件后才能一起解压一起使用: kali-linux-2021.3-installer-amd64.part5.rar ... kali-linux-2021.3-installer-amd64....
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1601
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
Kaliw3af安装及创建快捷方式的【详细】教程
胡乱写点什么
07-23 4092
Kali安装w3af详细教程 我为了安装个w3af花了10个小时,因为网上能参考的教程比较少,有些报错的解决方法甚至网上都没有,特意记录下来,以供大家参考。 首先,由于kali2.0自带的w3af扫描时会自动卡死,而且kali在2019.2发布的版本中去除了w3af,所以我们需要自己安装。我们需要准备以下三个环境: Git 客户端:安装命令 sudo apt-get install git...
Kali Linux 网络安全渗透测试
06-02
为什么学网络安全?1. 市场巨大每年各安全厂商收入高达400亿左右,随着5G的发展,万物互联时代,市场将进一步扩大。2. 薪资高网安人才的匮乏,用人开出招聘薪资往往高于求职者的预期。3. 靠能力说话在网络安全专业,专业技能竞争力要远高于学历本身。在网安专业只看能力不看学历也成了大家公认的原则。 网络安全未来10年的发展前景现代人的生活与网络息息相关,个人、企业信息的安全显示尤为重要,2018年报告的信息安全事件比2017年有所增加,一年几千万次。应对网络安全挑战,已越来越被重视。不管你是否从事网络安全行业相关工作,信息安全都显得越来越重要。 注意:视频教学内容仅用于网络安全渗透测试。其他行为,自己承担相应的责任,与作者无关。 
Kali Linux渗透测试基础入门到进阶实战全程课
09-29
课程标题:Kali Linux渗透测试基础入门到进阶实战全程课一、课程声明       本课程所有分享仅做学习交流,切勿用于任何不法用途,请每位学员自觉遵守网络安全法等法律法规!二、课程概要       本课程主要分享Kali Linux渗透测试基础入门到进阶实战全程技巧!三、适合人员       1、零基础大学生       2、IT技术人员       3、运维工程师       4、渗透测试工程师       5、漏洞挖掘工程师四、特别说明       1、本课程支持一次购买,永久观看!       2、本课系讲师原创课程,请勿盗用!
Kali Linux渗透测试全程课与脚本语言编程系列课程
09-29
一、课程概要         本课程主要分享分享Kali Linux渗透测试全程课与脚本语言编程系列课程! 二、课程目标          本课程致力于帮助广大学员掌握Kali Linux渗透测试与编程技巧! 三、适合人员         本课程适合兴趣计算机与网络安全技术的学员观看学习! 四、特别提醒         本课程支持一次购买,享受永久观看,欢迎大家选购!
精通Kali Linux 高级渗透测试2023版本,英文原版
最新发布
07-12
Kali Linux作为一款强大的开源渗透测试工具,是学习者和专业渗透测试人员的必备资源,它提供了广泛的工具集和攻击模拟环境,以便进行系统评估、漏洞探测和道德黑客活动。 书中内容涵盖了从基础配置到高级技术的全面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值