原文:[url]http://resources.infosecinstitute.com/w3af-tutorial-4/[/url]
之前的文件我们学习了w3af中的插件以及他们的应用场合。本文,我们将学习一些w3af中附带的其他工具,他们可以帮助我们发送Manual Requests,进行Fuzzing,加密/解密请求和应答,使用代理截获/修改请求/应答,以及允许我们进行不同的HTTP请求/应答的比较。然后学习如何写自动化测试脚本。最后了解一下w3af中现有的配置。
[b][color=blue]1) Manual Request -Manual Reques[/color][/b]t特性允许我们发送伪造的请求然后分析应答。这种技术可以用来进行各种测试,包括SQLi,XSS等。可以通过下图找到这个工具。点击Manual Request打开Manual Request编辑工具
[img]http://dl2.iteye.com/upload/attachment/0101/5011/c8c9c850-935f-33e6-86ac-6638183cf943.png[/img]
然后可以编辑请求,发送,分析应答。从下图可以看到,我发送了一个请求到http://google.com.同时,你也许想改变User-Agent,那样请求看起来就不是w3af发送的了。
[img]http://dl2.iteye.com/upload/attachment/0101/5013/b51156d6-7edd-3605-af62-60c8101a8602.png[/img]
点击Send Request发送请求。然后,显示应答。可以简单的分析应答或发送给w3af的其他工具。
[img]http://dl2.iteye.com/upload/attachment/0101/5017/27b2fc29-392a-3c28-93ba-358e40fce84b.png[/img]
也可以通过点击相应的button把从扫描的结果中把请求发送给Manual Request编辑器。这个方法同样适用于Encoder/Decoder,Fuzzy请求编辑器,以及到处请求等。
[img]http://dl2.iteye.com/upload/attachment/0101/5019/a25a0bf9-7c4e-3ae3-a904-7dfa63fadde5.png[/img]
2) Fuzzy Request - The Fuzzy Request特性允许我们通过不同的请求发送各种数据,来分析他们的响应。
[img]http://dl2.iteye.com/upload/attachment/0101/5021/4409270d-f426-359d-b241-a021eb7d27fb.png[/img]
上图所示的fuzzy请求编辑器.在$符间添加不同的文本。从上图中很容易看到不同的数据有语法“$xrange(10)$”决定的,它表示0-9之间的数字。当使用两个文本生成器时,请求会连接。例如一个文本生成器产生5个值,另一个产生6个值,那么他们一共产生30个值。下图显示一些常用语法。
[img]http://dl2.iteye.com/upload/attachment/0101/5023/bed29f04-d993-3256-953f-3672674329a2.png[/img]
我们写好生成器之后,我们可以点击Analyze来分析fuzzy阶段产生的请求。可以看到到底发送了什么请求。
[img]http://dl2.iteye.com/upload/attachment/0101/5025/0b87cf80-73e4-3179-8d44-4a0badd10779.png[/img]
点击play按键来发送请求。可以通过Response标签分析响应。
[img]http://dl2.iteye.com/upload/attachment/0101/5027/6f012e86-4f3d-32e0-8b51-f2ba3ea74a8a.png[/img]
收到应答后,可以把应答分组。有不同的方法来分组。区分标准响应和fuzzy的响应是Fuzzy测试中很重要的一步
下图是根据HTTP应答体的Levenshtein distance来分组的。w3af允许你自己定制方法。
[img]http://dl2.iteye.com/upload/attachment/0101/5031/4a613b4d-db8f-34ff-a8ac-41a3f614a938.png[/img]
[color=blue][b]3) Encode/Decode[/b][/color] - The Encode/Decode工具用来编解码字符串,url等。可以选择各种编解码选项。如下图所示,使用的是base64.
[img]http://dl2.iteye.com/upload/attachment/0101/5033/f513a4c4-85c2-3af8-904e-2b58a86c40e8.png[/img]
[color=blue][b]4) Export Requests[/b][/color] - The Export Requests允许我们使用不同语言生成代码,然后重新发送请求。下图所示,生成python代码,然后从新生成原始请求。这个工具允许生成HTML, Ajax, Python and Ruby代码
[img]http://dl2.iteye.com/upload/attachment/0101/5041/2207fc4e-cfb9-38d8-814f-ec51404c156c.png[/img]
[color=blue][b]5) Compare[/b][/color] - The Compare工具用于在两个请求/应答之间做比较。如下图,往比较工具发送了两个不同请求的应答。应答的不同之处高亮显示。
[img]http://dl2.iteye.com/upload/attachment/0101/5043/1d15017f-5369-3481-b9bc-24ff2dc43e57.png[/img]
[color=blue][b]6) Proxy[/b][/color] - w3af支持使用代理截获请求,然后修改他们。为了使用代理,我们需要配置浏览器来支持代理。现实生活中的渗透测试,拦截我们想拦截的请求是很重要的。下图显示代理的配置。可以看到运行在8080端口。同时我们也要告诉代理当遇到图片,css文件或swf文件是不要拦截请求
[img]http://dl2.iteye.com/upload/attachment/0101/5048/ee4bf57a-7bb0-3e1a-b2ce-262629d3e1e7.png[/img]
配置浏览器
[img]http://dl2.iteye.com/upload/attachment/0101/5050/7a89e383-5b8d-39f6-ba67-5f6fb6ae9439.png[/img]
然后开始使用浏览器。可以看到请求/应答显示在下图的History标签中。现在请求/应答是没用拦截地通过代理。
[img]http://dl2.iteye.com/upload/attachment/0101/5052/bbcedfcf-8ca4-3bc2-b30e-0b1bd4078ad5.png[/img]
可以把请求/应答发送到Manual Request编辑器,如下图。点击左上角的箭头开始拦截请求,发现请求被代理拦截
[img]http://dl2.iteye.com/upload/attachment/0101/5054/24da7720-04a6-3d88-a497-063fb34ccab6.png[/img]
可以Drop请求,这样的话,它不会到达目的地址,转发或者修改完之后在转发。例如下图,我们看到查询的字符串是w3af,我们可以简单的把它变为任何我们想搜的字符串。代理的另一些用途是可以用来找到login时发送的参数名。
[img]http://dl2.iteye.com/upload/attachment/0101/5056/4216eee8-c207-3c2f-a138-576e1bc8d59b.png[/img]
[color=blue][b]w3af scripting[/b][/color]
w3af支持脚本可以用来避免每次扫描的时候重复配置相同的配置。脚本以.w3af结尾。把一些w3af命令写入脚本。
开始编写脚本
[img]http://dl2.iteye.com/upload/attachment/0101/5058/42effc4d-301c-3ea1-819c-7e904a7c716b.png[/img]
保存为simple-config.w3af文件,使用w3af_console -s simple-config.w3af命令运行
[img]http://dl2.iteye.com/upload/attachment/0101/5060/e621a089-51ff-3137-86b7-06e7ecffb9a0.png[/img]
从下图可以看到输出,我们可以自己设置target,然后开始扫描。
[img]http://dl2.iteye.com/upload/attachment/0101/5062/520c36ea-2919-3c94-b90f-f55a6173edbe.png[/img]
[color=blue][b]w3af profiles[/b][/color]
w3af配置文件是一个为某一个场合预定义使用的配置文件,根据时间来选择不同配置文件按。我们也可以自己创建配置文件。w3af提供了一些配置文件,如下图所示。
[img]http://dl2.iteye.com/upload/attachment/0101/5066/4f3da7ea-af6b-3058-8369-2b33bebe09db.png[/img]
[color=blue]1) OWASP_TOP10[/color]-扫描OWASP定义的top10漏洞.
[color=blue]2) audit_high_risk[/color]- 扫描高危漏洞,例如OS commanding这些可以完全拿下网站的漏洞
[color=blue]3) bruteforce[/color]- 用来对web程序进行暴力破击
[color=blue]4) fast_scan[/color]- 用来快速扫描web程序。它只使用了webSpider插件,使用插件越多,花的时间就越多。
[color=blue]5) full_audit[/color]- 用于全面审计web程序. 它启动了大部分的审计,暴力破解以及有价值信息抓取的插件.类似于fast_scan配置,它使用webSpider插件作为爬虫
[color=blue]6) full_audit_manual_disc[/color] - 类似于 full_audit配置, 但是它同时使用了SpiderMan来进行手动web爬虫.SpiderMan和webSpider互相通信来找到尽可能多的信息。
[color=blue]7) sitemap[/color]- 使用不同的discovery插件例如robotsReader,yahooSiteExplorer等来创建sitemap
[color=blue]8) web_infrastructure[/color]- 使用一些discovery插件,例如fingerprint_os, hmap, serverHeader来获得系统指纹.
之前的文件我们学习了w3af中的插件以及他们的应用场合。本文,我们将学习一些w3af中附带的其他工具,他们可以帮助我们发送Manual Requests,进行Fuzzing,加密/解密请求和应答,使用代理截获/修改请求/应答,以及允许我们进行不同的HTTP请求/应答的比较。然后学习如何写自动化测试脚本。最后了解一下w3af中现有的配置。
[b][color=blue]1) Manual Request -Manual Reques[/color][/b]t特性允许我们发送伪造的请求然后分析应答。这种技术可以用来进行各种测试,包括SQLi,XSS等。可以通过下图找到这个工具。点击Manual Request打开Manual Request编辑工具
[img]http://dl2.iteye.com/upload/attachment/0101/5011/c8c9c850-935f-33e6-86ac-6638183cf943.png[/img]
然后可以编辑请求,发送,分析应答。从下图可以看到,我发送了一个请求到http://google.com.同时,你也许想改变User-Agent,那样请求看起来就不是w3af发送的了。
[img]http://dl2.iteye.com/upload/attachment/0101/5013/b51156d6-7edd-3605-af62-60c8101a8602.png[/img]
点击Send Request发送请求。然后,显示应答。可以简单的分析应答或发送给w3af的其他工具。
[img]http://dl2.iteye.com/upload/attachment/0101/5017/27b2fc29-392a-3c28-93ba-358e40fce84b.png[/img]
也可以通过点击相应的button把从扫描的结果中把请求发送给Manual Request编辑器。这个方法同样适用于Encoder/Decoder,Fuzzy请求编辑器,以及到处请求等。
[img]http://dl2.iteye.com/upload/attachment/0101/5019/a25a0bf9-7c4e-3ae3-a904-7dfa63fadde5.png[/img]
2) Fuzzy Request - The Fuzzy Request特性允许我们通过不同的请求发送各种数据,来分析他们的响应。
[img]http://dl2.iteye.com/upload/attachment/0101/5021/4409270d-f426-359d-b241-a021eb7d27fb.png[/img]
上图所示的fuzzy请求编辑器.在$符间添加不同的文本。从上图中很容易看到不同的数据有语法“$xrange(10)$”决定的,它表示0-9之间的数字。当使用两个文本生成器时,请求会连接。例如一个文本生成器产生5个值,另一个产生6个值,那么他们一共产生30个值。下图显示一些常用语法。
[img]http://dl2.iteye.com/upload/attachment/0101/5023/bed29f04-d993-3256-953f-3672674329a2.png[/img]
我们写好生成器之后,我们可以点击Analyze来分析fuzzy阶段产生的请求。可以看到到底发送了什么请求。
[img]http://dl2.iteye.com/upload/attachment/0101/5025/0b87cf80-73e4-3179-8d44-4a0badd10779.png[/img]
点击play按键来发送请求。可以通过Response标签分析响应。
[img]http://dl2.iteye.com/upload/attachment/0101/5027/6f012e86-4f3d-32e0-8b51-f2ba3ea74a8a.png[/img]
收到应答后,可以把应答分组。有不同的方法来分组。区分标准响应和fuzzy的响应是Fuzzy测试中很重要的一步
下图是根据HTTP应答体的Levenshtein distance来分组的。w3af允许你自己定制方法。
[img]http://dl2.iteye.com/upload/attachment/0101/5031/4a613b4d-db8f-34ff-a8ac-41a3f614a938.png[/img]
[color=blue][b]3) Encode/Decode[/b][/color] - The Encode/Decode工具用来编解码字符串,url等。可以选择各种编解码选项。如下图所示,使用的是base64.
[img]http://dl2.iteye.com/upload/attachment/0101/5033/f513a4c4-85c2-3af8-904e-2b58a86c40e8.png[/img]
[color=blue][b]4) Export Requests[/b][/color] - The Export Requests允许我们使用不同语言生成代码,然后重新发送请求。下图所示,生成python代码,然后从新生成原始请求。这个工具允许生成HTML, Ajax, Python and Ruby代码
[img]http://dl2.iteye.com/upload/attachment/0101/5041/2207fc4e-cfb9-38d8-814f-ec51404c156c.png[/img]
[color=blue][b]5) Compare[/b][/color] - The Compare工具用于在两个请求/应答之间做比较。如下图,往比较工具发送了两个不同请求的应答。应答的不同之处高亮显示。
[img]http://dl2.iteye.com/upload/attachment/0101/5043/1d15017f-5369-3481-b9bc-24ff2dc43e57.png[/img]
[color=blue][b]6) Proxy[/b][/color] - w3af支持使用代理截获请求,然后修改他们。为了使用代理,我们需要配置浏览器来支持代理。现实生活中的渗透测试,拦截我们想拦截的请求是很重要的。下图显示代理的配置。可以看到运行在8080端口。同时我们也要告诉代理当遇到图片,css文件或swf文件是不要拦截请求
[img]http://dl2.iteye.com/upload/attachment/0101/5048/ee4bf57a-7bb0-3e1a-b2ce-262629d3e1e7.png[/img]
配置浏览器
[img]http://dl2.iteye.com/upload/attachment/0101/5050/7a89e383-5b8d-39f6-ba67-5f6fb6ae9439.png[/img]
然后开始使用浏览器。可以看到请求/应答显示在下图的History标签中。现在请求/应答是没用拦截地通过代理。
[img]http://dl2.iteye.com/upload/attachment/0101/5052/bbcedfcf-8ca4-3bc2-b30e-0b1bd4078ad5.png[/img]
可以把请求/应答发送到Manual Request编辑器,如下图。点击左上角的箭头开始拦截请求,发现请求被代理拦截
[img]http://dl2.iteye.com/upload/attachment/0101/5054/24da7720-04a6-3d88-a497-063fb34ccab6.png[/img]
可以Drop请求,这样的话,它不会到达目的地址,转发或者修改完之后在转发。例如下图,我们看到查询的字符串是w3af,我们可以简单的把它变为任何我们想搜的字符串。代理的另一些用途是可以用来找到login时发送的参数名。
[img]http://dl2.iteye.com/upload/attachment/0101/5056/4216eee8-c207-3c2f-a138-576e1bc8d59b.png[/img]
[color=blue][b]w3af scripting[/b][/color]
w3af支持脚本可以用来避免每次扫描的时候重复配置相同的配置。脚本以.w3af结尾。把一些w3af命令写入脚本。
开始编写脚本
[img]http://dl2.iteye.com/upload/attachment/0101/5058/42effc4d-301c-3ea1-819c-7e904a7c716b.png[/img]
保存为simple-config.w3af文件,使用w3af_console -s simple-config.w3af命令运行
[img]http://dl2.iteye.com/upload/attachment/0101/5060/e621a089-51ff-3137-86b7-06e7ecffb9a0.png[/img]
从下图可以看到输出,我们可以自己设置target,然后开始扫描。
[img]http://dl2.iteye.com/upload/attachment/0101/5062/520c36ea-2919-3c94-b90f-f55a6173edbe.png[/img]
[color=blue][b]w3af profiles[/b][/color]
w3af配置文件是一个为某一个场合预定义使用的配置文件,根据时间来选择不同配置文件按。我们也可以自己创建配置文件。w3af提供了一些配置文件,如下图所示。
[img]http://dl2.iteye.com/upload/attachment/0101/5066/4f3da7ea-af6b-3058-8369-2b33bebe09db.png[/img]
[color=blue]1) OWASP_TOP10[/color]-扫描OWASP定义的top10漏洞.
[color=blue]2) audit_high_risk[/color]- 扫描高危漏洞,例如OS commanding这些可以完全拿下网站的漏洞
[color=blue]3) bruteforce[/color]- 用来对web程序进行暴力破击
[color=blue]4) fast_scan[/color]- 用来快速扫描web程序。它只使用了webSpider插件,使用插件越多,花的时间就越多。
[color=blue]5) full_audit[/color]- 用于全面审计web程序. 它启动了大部分的审计,暴力破解以及有价值信息抓取的插件.类似于fast_scan配置,它使用webSpider插件作为爬虫
[color=blue]6) full_audit_manual_disc[/color] - 类似于 full_audit配置, 但是它同时使用了SpiderMan来进行手动web爬虫.SpiderMan和webSpider互相通信来找到尽可能多的信息。
[color=blue]7) sitemap[/color]- 使用不同的discovery插件例如robotsReader,yahooSiteExplorer等来创建sitemap
[color=blue]8) web_infrastructure[/color]- 使用一些discovery插件,例如fingerprint_os, hmap, serverHeader来获得系统指纹.
325
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
