wfuzz网站模糊测试

https://github.com/xmendez/wfuzz

Wfuzz: The Web fuzzer — Wfuzz 2.1.4 documentatio n

一、wfuzz介绍

WFuzz是基于Python开发的 Web安全模糊测试工具。可以将其理解为Fuzz一款暴力破解工具。根据用户提供的字典，获取web站点的敏感目录和信息。

Wfuzz 提供了一个框架来自动化 Web 应用程序安全评估，并可以帮助您通过查找和利用 Web 应用程序漏洞来保护 Web 应用程序。

kali默认安装。

工作原理：

基于一个简单的概念：它将对 FUZZ 关键字的任何引用替换为给定有效负载的值(数据源)。

这个简单的概念 允许将任何输入注入HTTP请求的任何字段中，允许在不同的Web应用程序组件中执行复杂的Web安全攻击，例如：参数，身份验证，表单，目录/文件，标头等。

   

Wfuzz不仅仅是一个网页内容扫描器：

• Wfuzz 可以通过查找和利用 Web 应用程序漏洞来帮助您保护 Web 应用程序。插件支持Wfuzz的Web应用程序漏洞扫描程序。
• Wfuzz是一个完全 模块化的框架，即使是最新的Python开发人员也可以轻松做出贡献。构建插件很简单，只需几分钟。
• Wfuzz 向之前使用 Wfuzz 或其他工具（如 Burp）执行的 HTTP 请求/响应公开了一个简单的语言界面。这允许您在完整的上下文和对操作的理解下 执行手动和半自动测试，而无需依赖 Web 应用程序扫描程序底层实现。

它的创建是为了促进Web应用程序评估中的任务，它是渗透测试人员为渗透测试人员提供的工具;

测试的漏洞类型主要包括：未授权访问、注入漏洞（目录遍历、SQL 注入、XSS、XXE）、暴力破解登录口令 等 。

二、安装

$ pip3 install wfuzz

或者

$ git clone git://github.com/xmendez/wfuzz.git && python setup.py install

或者

$ docker run -v $(pwd)/wordlist:/wordlist/ -it ghcr.io/xmendez/wfuzz wfuzz

kali上自带wfuzz：

包路径：/usr/lib/python3/dist-packages/wfuzz （pip3 show wfuzz得到）

字典路径：/usr/share/wfuzz/wordlist/*

三、用法

用法：wfuzz [options] -z payload,params <url>

Options：

• -h：帮助
• --help：高级帮助
• --version：Wfuzz版本详细信息使用
• -e ＜type＞：列出可用的encoders/payloads/iterators/printers/scripts。wfuzz -e <<category>> 开关检查可用的模块
• -c：带颜色的输出
• -v：详细信息
• --interact:（beta）如果选中，则捕获所有按键。这允许您与程序交互。
• -p addr：使用ip:port:type格式的代理。重复使用各种代理的选项。如果省略，类型可以是SOCKS4、SOCKS5或HTTP。多个-p参数同时使用多个代理：-p localhost:2222:SOCKS5 -p localhost:8080
• -t N：指定并发连接数（默认值为10）
• -s N：指定请求之间的时间延迟（默认值为0）
• -R depth：递归路径发现深度为最大递归级别（默认值为0）
• -D depth：最大链接深度级别（默认值为4）
• -L、 --follow:遵循HTTP重定向
• -u url：指定请求的url。
• -z payload：以类型、参数和编码器的形式为每个FUZZ关键字指定有效载荷。可以使用编码器列表，即md5-sha1。编码器可以是链式的，即。md5@sha1.可以使用编码器类别。即url使用帮助作为有效负载来显示有效负载插件的详细信息（您可以使用--slice进行过滤）wfuzz -z help查看支持哪些payload
• -w wordlist：指定wordlist文件（等同于-z file,wordlist）。
• -V alltype：所有参数brutforming（allvars和allpost）。不需要FUZZ关键字。
• -X method：指定请求的HTTP方法，即HEAD或FUZZ
• -b cookie：为请求指定cookie
• -d postdata：使用postdata（例如：“id=FUZZ&catalog=1”）
• -H header：使用头（例如：“Cookie:id=1312321&user=FUZZ”）
• --basic/ntlm/digest auth：格式为"user:pass"或"FUZZ:FUZZ"或 "domain\FUZ2Z:FUZZ"。wfuzz -z list,"username-password" --basic FUZZ:FUZZ URL
• --hc/hl/hw/hh N[，N]+：隐藏具有指定代码/行/字/字符的响应（使用BBB从基线获取值）
• --sc/sl/sw/sh N[，N]+：显示具有指定代码/行/字/字符的响应（使用BBB获取基线值）
• --ss/hs regex：显示/隐藏内容中具有指定正则表达式的响应

Examples:

wfuzz -c -z file,users.txt -z file,pass.txt --sc 200  http://www.site.com/log.asp?user=FUZZ&pass=FUZZ
wfuzz -c -z range,1-10 --hc=BBB http://www.site.com/FUZZ{something not there}
wfuzz --script=robots -z list,robots.txt http://www.webscantest.com/FUZZ

wfuzz本身自带字典：

┌──(root㉿kali)-[/usr/share/wfuzz/wordlist]
└─# tree                    
.
├── general
│   ├── admin-panels.txt
│   ├── big.txt
│   ├── catala.txt
│   ├── common.txt
│   ├── euskera.txt
│   ├── extensions_common.txt
│   ├── http_methods.txt
│   ├── medium.txt
│   ├── megabeast.txt
│   ├── mutations_common.txt
│   ├── spanish.txt
│   └── test.txt
├── Injections
│   ├── All_attack.txt
│   ├── bad_chars.txt
│   ├── SQL.txt
│   ├── Traversal.txt
│   ├── XML.txt
│   └── XSS.txt
├── others
│   ├── common_pass.txt
│   └── names.txt
├── stress
│   ├── alphanum_case_extra.txt
│   ├── alphanum_case.txt
│   ├── char.txt
│   ├── doble_uri_hex.txt
│   ├── test_ext.txt
│   └── uri_hex.txt
├── vulns
│   ├── apache.txt
│   ├── cgis.txt
│   ├── coldfusion.txt
│   ├── dirTraversal-nix.txt
│   ├── dirTraversal.txt
│   ├── dirTraversal-win.txt
│   ├── domino.txt
│   ├── fatwire_pagenames.txt
│   ├── fatwire.txt
│   ├── frontpage.txt
│   ├── iis.txt
│   ├── iplanet.txt
│   ├── jrun.txt
│   ├── netware.txt
│   ├── oracle9i.txt
│   ├── sharepoint.txt
│   ├── sql_inj.txt
│   ├── sunas.txt
│   ├── tests.txt
│   ├── tomcat.txt
│   ├── vignette.txt
│   ├── weblogic.txt
│   └── websphere.txt
└── webservices
    ├── ws-dirs.txt
    └── ws-files.txt
6 directories, 51 files

wfuzz框架中包含的其他工具：

Wfuzz有效载荷生成器：$ wfpayload -z range,0-10

模糊编码器/解码器：$ wfencode -e md5 test

四、使用

wfuzz -w 字典 http://testphp.vulnweb.com/FUZZ

如上命令使用-w参数指定字典位置，然后跟上一个要测试的地址，所列的例子中有一个FUZZ单词，这个单词可以理解是一个占位符，这样就大概了解了wfuzz的基本运行原理。

  

# 使用文件有效负载别名时的简短方法：

$ wfuzz -w wordlist/general/common.txt http://testphp.vulnweb.com/FUZZ

# 使用外部单词列表生成器时可以使用 stdin 有效负载：

crunch 2 2 ab | wfuzz -z stdin http://testphp.vulnweb.com/FUZZ

# 多个有效负载

wfuzz -w wordlist/general/common.txt -w wordlist/general/common.txt -w wordlist/general/extensions_common.txt --hc 404 http://testphp.vulnweb.com/FUZZ/FUZ2ZFUZ3Z

# 显示响应 –sc， –sl， –sw， –sh

wfuzz -w wordlist/general/common.txt --sc 404,403 http://testphp.vulnweb.com/FUZZ

# 隐藏响应 –hc， –hl， –hw， –hh

wfuzz -w wordlist/general/common.txt --hc 404,403 --hh 8972  http://datalayer.io/FUZZ

# 使用基线  前面使用 –hh 开关过滤“未找到”资源的命令可以使用以下命令完成：

wfuzz -w wordlist/general/common.txt --hh BBB  http://datalayer.io/FUZZ{notthere}

# 正则表达式过滤  参数 “–ss” 和 “–hs” 允许使用正则表达式针对返回的内容过滤响应

wfuzz -H "User-Agent: () { :;}; echo; echo vulnerable" --ss vulnerable -w wordlist/vulns/cgis.txt http://localhost:8000/FUZZ   # 允许查找易受“shellshock”攻击的Web服务器

五、dvwa环境演示

5.1、Wfuzz爆破文件

在测试时最常用了，可以得到站点的管理地址，或者其他文件等等

​wfuzz -c -w /root/桌面/file.txt -u http://192.168.11.45/FUZZ.php  -b "PHPSESSID=v987sdefja03nhp0i9il4te3c7; security=low"

从左往右看，依次是 编号、响应状态码、响应报文行数、响应报文单词数、响应报文字符数、测试使用的Payload。

在上述测试中，响应为404的则意味着不存在该文件，200则存在该文件。

5.2、Wfuzz爆破目录

​wfuzz -c -w /root/桌面/dir.txt -u http://192.168.11.45/vulnerabilities/FUZZ  -b "PHPSESSID=v987sdefja03nhp0i9il4te3c7; security=low"

5.3、针对登录功能的暴力破解

随便输入账号密码 admin/password 来抓取数据包看看：

看请求是通过 GET 请求将用户名和密码作为参数进行验证，由于访问 DVWA 的漏洞页面需要认证，所以需要指定 Cookie，然后尝试使用下面的命令对密码进行 FUZZ：

​wfuzz -c -w /usr/share/wfuzz/wordlist/general/medium.txt -u "http://192.168.11.45/vulnerabilities/brute/?username=admin&password=FUZZ&Login=Login" -b "PHPSESSID=b6kqi0cagcn636r6u4o5hg4v73; security=low"

结果：

从图中可以看到第一行，密码为 password 时，Word 和 Chars 与其他不一样，说明，这个密码可能是正确的，然后用这个密码去测试即可。

5.4、针对参数进行SQL注入检测

针对参数中的id进行Fuzz，命令如下：

结果中有一些 payload 获得的返回包不太一样，可以猜测其存在安全风险，其实 Fuzz 的过程就是触发异常，然后针对异常进行深入测试。

六、python使用wfuzz

Python 库 — Wfuzz 2.1.4 文档