w3af漏扫的基本使用

最新推荐文章于 2020-07-24 10:07:06 发布
最新推荐文章于 2020-07-24 10:07:06 发布
阅读量1.7k 收藏 12
点赞数 2
分类专栏: 渗透工具 文章标签: w3af
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36374896/article/details/83618388
版权

一、安装

  1. apt安装
	apt-get update
	apt-get install -y w3af

出现无法定位软件包
在这里插入图片描述

  1. 源码安装
sudo apt-get install git
sudo apt-get install python-pip

git clone https://github.com/andresriancho/w3af.git
cd w3af/
./w3af_console
. /tmp/w3af_dependency_install.sh
  1. 最新安装
cd ~
apt-get update
apt-get install -y python-pip w3af
pip install --upgrade pip
git clone https://github.com/andresriancho/w3af.git
cd w3af
./w3af_console
. /tmp/w3af_dependency_install.sh

二、使用

启动

w3af_console   启动命令行
w3af_gui      启动gui
漏洞扫描配置
w3af>>> plugins
//进入插件模块
w3af/plugins>>> list discovery 
//列出所有用于发现的插件
w3af/plugins>>> discovery findBackdoor phpinfo webSpider 
//启用findBackdoor phpinfo webSpider这三个插件
w3af/plugins>>> list audit 
//列出所有用于漏洞的插件
w3af/plugins>>> audit blindSqli fileUpload osCommanding sqli xss 
//启用blindSqli fileUpload osCommanding sqli xss这五个插件
w3af/plugins>>> back
//返回主模块
w3af>>> target
//进入配置目标的模块
w3af/config:target>>> set target http://192.168.244.132/
//把目标设置为http://192.168.244.132/
w3af/config:target>>> back
//返回主模块
w3af>>> start   //开始扫描

三、主要插件:

1.Crawl(爬取)类
职责:通过爬取网站站点来获得新的URL地址。

2.Audit(审计)类
该类插件会向Crawl插件爬取出的注入点发送特制的POC数据以确认漏洞是否存在。

3.Attack(攻击)类
如果Audit插件发现了漏洞,Attack将会进行攻击和利用,通常会在远程服务器上返回一个shell或者比如SQL注入则会获取数据库的数据。

其他插件:
1.Infrastructure(基础)插件
这类插件用来标识有关目标系统的信息,如安装的WAF,操作系统和HTTP守护进程等。

2.Grep(检索)插件
这类插件会分析其他插件发送的HTTP请求和相应并识别漏洞。

3.Output(输出)插件
这类插件会将插件的数据保存到文本,xml或者是html文件中。调试的信息也会发送到输出Output插件并可保存和分析。
如果启用了text_file和xml_file这两个Output插件,则这两个都会记录有Audit插件发现的任何漏洞。

4.Mangle插件
允许修改基于正则表达式的请求和响应。

5.Broutforce插件
在爬去阶段进行暴力登陆。

6.Evasion(绕过)插件
通过修改由其他插件生成的HTTP请求来绕过简单的入侵检测规则。

所有的插件配置菜单都提供了以下命令:
help:获得每个配置参数的详细帮助
view:列出所有可配置参数及其值和说明
set:用于更改值
back:返回上一个菜单,也可以使用Ctrl+C

浅笑⁹⁹⁶
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
w3af扫描利用SQL注入漏洞
03-22 1632
###w3af简介 w3af是一个比较流行的web漏洞扫描工具,是开源的,目前还在开发更新。大名鼎鼎的渗透专属系统Kali的默认安装的工具。不过2017年的1月份,由于系统支持的原因,w3af已经被暂时移出了Kali系统。 将w3af定义为工具,实际不是非常准确。它的英文的全称是Web App...
w3af_console----渗透扫描
weixin_34255055的博客
09-07 581
2019独角兽企业重金招聘Python工程师标准>>> ...
Kali Linux 网络安全渗透测试
06-02
为什么学网络安全?1. 市场巨大每年各安全厂商收入高达400亿左右,随着5G的发展,万物互联时代,市场将进一步扩大。2. 薪资高网安人才的匮乏,用人开出招聘薪资往往高于求职者的预期。3. 靠能力说话在网络安全专业,专业技能竞争力要远高于学历本身。在网安专业只看能力不看学历也成了大家公认的原则。 网络安全未来10年的发展前景现代人的生活与网络息息相关,个人、企业信息的安全显示尤为重要,2018年报告的信息安全事件比2017年有所增加,一年几千万次。应对网络安全挑战,已越来越被重视。不管你是否从事网络安全行业相关工作,信息安全都显得越来越重要。 注意:视频教学内容仅用于网络安全渗透测试。其他行为,自己承担相应的责任,与作者无关。 
亲测kali2020下安装w3af
西西工作室
07-24 1552
w3af在kali2020下真心不好安装 一路坑坑拌伴 正常下载w3af,按要求解压在/root下 安装NPM包管理工具 apt install npm libyaml-dev libsqlite3-dev 补全python库环境 apt install python-dev build-essential libssl-dev libffi-dev libxml2-dev libxslt1-dev zlib1g-dev 修改配置文件 vim ~/w3af/w3af/core/controllers/dep
w3af for windows
03-15
w3af Windows版本,安装的时候需要python环境,如何安装python自行百度。
w3af安装及使用.pdf
03-02
w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用...
w3af入门使用.pdf
03-02
w3af的强大之处就在于他的插件数很多,需要灵活的利用
w3af_1.0安装包
01-27
为了获得更好的安全测试效果,建议使用w3af的最新稳定版本。更新版本不仅修复了已知的问题,还添加了新的漏洞检测插件,以适应不断演变的Web安全环境。 **六、安全实践** 使用w3af进行安全测试时,应遵循以下最佳...
w3af高级使用.pdf
03-02
w3af的高级用法,包括脚本扫描,登陆扫描等其他高级技巧。
w3af bt5扫描神器
06-27
BT5中安装的最新版本W3AF 扫描神器,可以直接对扫描的漏洞进行注入测试,一款软件集合平台
w3af,web安全工具
04-24
web安全工具,W3af是一个基于Python的Web应用扫描器。
安装软件包libicu57 (安装w3af过程)
hints'blog
10-14 7952
安装过程参考:https://blog.csdn.net/f786548139/article/details/80604586 问题出现: 在安装所需软件包时: libjavascriptcoregtk-1.0-0 : 依赖: libicu57 (>= 57.1-1~) 但无法安装它   这时需要安装(我的更新源并没有libicu57) debian软件仓库(https://p...
W3af---命令行模式实验详解(一)
Louisnie
09-10 8595
实验环境: Kali:192.168.128.128 Metasploitable:192.168.128.129 安装W3af:kali2.0安装w3af文档 w3af用户接口: console命令行接口 Gui图形界面化接口 API 进入w3af命令行界面: root@kali:~/w3af-master# ./w3af_console w3a...
扫描神器W3AF
weixin_30835649的博客
03-25 490
  W3AF是阿根廷人 Anfres Riancho所创建的一个开源项目,目的是成为一个Web应用攻击和统计的平台。目前W3AF分为两个主要部分——核心模块和插件部分。   核心模块负责进程的调度和插件的使用,插件部分负责查找并攻击Web安全漏洞。   插件部分: 发现模块(discovery)、审计模块(audit)、搜索模块(grep)、攻击模块(attack)、输出模块(output)...
w3af使用_商洛学院司徒荆_新浪博客
司徒荆的博客
09-22 851
web 应用程序攻击和检查 w3af 利用w3af爬虫插件探测出目标网站的目录结构 1、w3af是一个web应用安全的攻击,审计平台,通过增加插件来对功能进行扩展,是一款pyhton写的工具,支持GUI,也支持命令行模式。 2.具有漏洞挖掘,漏洞分析,漏洞攻击 开工 1.打开终端,输入w3af_console,启动控制台。具有控制台界面和图形界面。(启动w3af) 2.输入plug...
w3af使用
MyDriverC
11-15 2665
http://docs.w3af.org/en/latest/phases.html
Kali linux 学习笔记(四十一)Web渗透——扫描工具之w3af 2020.3.18
闵行小鱼塘
03-18 1414
扫描工具之w3af
顶级黑客最喜欢的五种渗透测试工具!
专注前端技术,包括Web端、移动端、小程序、APP
01-20 4009
大家好,我是柒星 今天为大家介绍五种顶级黑客常用的渗透测试工具。你值得拥有! 一般而言,渗透测试(也称为“笔测试”)是一组描述的过程,用于发现企业或公司的网络基础架构中的任何未知弱点。 用专业术语来讲就是:“渗透测试通常包括网络渗透测试和应用程序安全测试,以及围绕网络和应用程序的控制和流程,并且应该在试图进入网络外部(外部测试)和网络内部进行。” 1.网络映射器(也称为“ NMAP”) 顾名思义,...
kali安装w3af
最新发布
05-24
w3af是一款流行的Web应用程序漏洞扫描器,可以帮助您发现Web应用程序中的漏洞。以下是在Kali Linux上安装w3af的步骤: 1. 首先打开终端,更新Kali Linux的软件包列表,输入以下命令: sudo apt-get update 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值