Kali扫描 w3af的使用(二)截断代理及其结果处理

最新推荐文章于 2022-06-20 21:32:08 发布
最新推荐文章于 2022-06-20 21:32:08 发布
阅读量409 收藏
点赞数
分类专栏: # 网安—Kali的使用 文章标签: linux kali w3af 截断代理 web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44867435/article/details/97621479
版权

Kali——WEB渗透(七)

学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。

—— 扫描:w3af(二)——

本篇博客主要介绍w3af的截断代理功能和对截断代理反馈信息的处理。
一.截断代理

  1. 简单来说,截断代理结束捕获目标站点用以身份验证的http头文件(Http header file),可以清楚地看到客户端和服务端之间的请求和应答数据。
    图形化界面在"Proxies the HTTP requests·····"
    结果包括cookie文件和头文件,头文件相对固定。

  2. 我们可以利用头文件来进行身份认证,并且可以把头文件保存为TXT文件,以备后续使用
    图形化界面在"configuration”->"General”
    其中部分选项填写:

选项填写
timeout超时时间
header_file头文件地址
url_parameterurl参数

二.对截断代理反馈信息的处理

  1. 对已经获取的头文件信息进行操作。
    图形化界面在"Proxies the HTTP requests·····”
  2. Send Request Manual Editor,作用:手动编辑头文件信息并重新发送请求(要注意,这并非是浏览器发送的正常请求)。
  3. Send Request to Fuzzy Editor,作用:使用Fuzz(模糊)攻击。用以查看某个目录是否存在,可以使用正则表达式,格式为:
格式作用
$ range(10)$尝试0-9的数字
$ string.louercase[:26]$尝试a-z的字母
$ [‘spa’, ‘egg’]$尝试特定字符串
$ [l.strip () for l in file (‘input.txt’【字典的路径】) .readlines () ]$尝试使用字典中的数据
  1. Send Request and Response to Compare Tool,作用:比较两次请求的结果。
  2. Export Request,作用:导出访问和相应的结果。
  3. Audit Request with····,作用:修改请求内容。

三.缺陷
w3af并不支持客户端技术(JavaScript,Flash,Java apple等)
解决办法:使用插件进行截断代理。
【注】本次提到的截断代理和上面的截断代理有区别,上一种是依靠w3af进行手动漏洞挖掘,而本次为依靠插件的自动挖掘。
图形化界面在"craul"->“spider man(为啥叫蜘蛛侠?迷惑···)”

  • 这款插件可以和其他插件一同使用,增加发现漏洞的数量与概率。

  • spider man 的结束方法很奇葩,需要使用浏览器访问:

    http://127.7.7.7/spider_man?terminate
    该路径为固定路径。

kali linux 2017.2版下安装w3af 【超详细】
写下些记录
10-12 1万+
参考:https://github.com/andresriancho/w3af/issues/15523 http://blog.csdn.net/ycl146/article/details/750415271
Kali扫描 w3af使用(一)用户界面和身份认证
胡乱写点什么
07-26 1454
Kali——WEB渗透(六) 学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。 —— 扫描:w3af(一)—— 本篇博客主要介绍w3af的用户界面和身份认证方式,w3af提供了4种身份认证方法和截断代理这一功能。安装w3af的具体教程点击安装教程即可。 一.界面与使用 命令行界面与图形化界面相互对应,功能完全相同。 help:在命令行界面无论位于哪一...
kali34 WEB渗透——扫描工具w3af_console
(∪.∪ )...zzz的博客
12-07 6350
这里写自定义目录标题一、简介1.plugin2. kali 安装w3af[问题解决]、 操作1. 启动帮助2.plugins模块开启三个插件模块扫描所有插件模块3. profiles 模块4.http-settings 模块5.misc-settings (杂项设置)模块6.target 模块7.启动8.脚本 w3af_console 一、简介 web扫描框架(开源、不断添加 集成exploit模块 1.plugin audit(审计):该类插件会向Crawl插件爬取出的注入点发送特制的POC数据以
kali w3af的安装与相关问题
weixin_34367845的博客
07-13 239
kali 最新版本的安装好后是没有w3af的。(官方网站下载的2017最新版),(2016版的是有w3af的)。下面就开始安装w3af。1,首先kali安装好后,更新系统及软件,kali 源有两种,一种是kali-rolling版本:另外一种是sana版本:,首先要确定自己的kali系统是什么版本的,lsb_release -a 这个命令查看系统的版...
owap-zap之截断代理
高毅的博客
12-25 2221
以下简称zap。 zap启动后,会默认启动8080端口监听。 打开kali中的Firefox,安装autoproxy 插件, 安装完成后,会看到“福”,点击“首选项”-->“代理服务器”-->“编辑代理服务器”, 最后一个,8080, 最后,点击“福”,由红色变绿色,表示此时浏览器发出的请求都将经过zap。
w3af安装教程
xxxMIng的博客
12-28 3288
注:参考教程https://blog.csdn.net/f786548139/article/details/80604586          !!!各种依赖关系   Web Application Attack and Audit Framework 基于python语言开发 此框架的目标是帮助你发现和利用所有web应用程序漏洞 9大类近150个plugin Audit Infr...
Kali Linux渗透测试(安全牛).txt
04-17
│ 任务077:w3af-截断.mp4 │ 任务078:Arachni.mp4 │ 任务079:OWASP_ZAP.mp4 │ 任务080:Burpsuite.mp4 │ 任务081:Burpsuite-intruder.mp4 │ 任务082:Burpsuite-repeater,Sequencer,编码,截断工具.mp4 ...
kaliWEB渗透笔记
fhl5203的博客
11-01 5320
抓包协议分析 一般每300M分成一个包,这样抓包分析工具打开速度不会太慢。 首先剔除对分析没有用处的协议,剔除IP地址是224以上的组播地址。 WEB攻击面 Network、OS、WEB Server、App server、Web Application、Database、Browser 重要的header • Set-Cookie:服务器发给客户端的SessionlD (被窃取的风险) • Co...
Kali linux 学习笔记(五十一)Web渗透——sqlmap自动注入 2020.3.28
闵行小鱼塘
03-28 3302
学习sqlmap自动注入
w3af高级使用.pdf
03-02
w3af的高级用法,包括脚本扫描,登陆扫描等其他高级技巧。
w3af安装及使用.pdf
03-02
w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.
kali安装w3af
zgy956645239的博客
02-16 950
安装w3af的时候 python 2.7安装某些包出现错误:"libxml/xmlversion.h:没有那个文件或目录" 如下  /tmp/pip-install-uD2Oon/lxml/src/lxml/includes/etree_defs.h:14:10: fatal error: libxml/xmlversion.h: 没有那个文件或目录      #include "libxm...
kali linux下w3af的安装
hclimg的博客
07-27 1808
w3af介绍 w3af是基于Python开发,易于使用和扩展的一个Web应用程序攻击和审计框架。该项目的目标是创建一个框架,通过查找和利用所有Web应用程序漏洞来帮助保护Web应用程序。是一个开源项目,具有主动扫描和手动扫描,还具有强大的插件功能,能够集成其他的扫描工具。 w3afkali-linux下的安装 1.查看版本信息 2.编辑源文件,添加浙大源和官方源 vim /etc/apt/so...
kali 2021安装w3af
shawdow_bug的博客
11-17 3811
折腾了一晚上,终于装上了w3afkali 2020依赖安装出现了问题,可能是循环依赖的原因,具体是有关texlive-base的依赖。 然后切换到kali 2021,安装 docker 版的 w3af,很方便: (1)kali 安装 docker:kali安装docker(有效详细的教程)_jammny-CSDN博客_kali安装docker (2)docker下载 w3af 镜像: docker pull andresriancho/w3af (2)git下载 w3af 软件包: g
Kali的w3af安装及创建快捷方式的【详细】教程
胡乱写点什么
07-23 4396
Kali安装w3af详细教程 我为了安装个w3af花了10个小时,因为网上能参考的教程比较少,有些报错的解决方法甚至网上都没有,特意记录下来,以供大家参考。 首先,由于kali2.0自带的w3af扫描时会自动卡死,而且kali在2019.2发布的版本中去除了w3af,所以我们需要自己安装。我们需要准备以下三个环境: Git 客户端:安装命令 sudo apt-get install git...
kali 2020 安装w3af
devil8123665的博客
10-06 2510
w3af 官网http://w3af.org/download 官网文档http://docs.w3af.org/en/latest/install.html 一、先决条件 开始安装之前,请确保已准备好以下软件: Git客户端:sudoapt-getinstallgit Python 2.7,在大多数系统中默认安装 点子版本1.1:sudoapt-getinstallpython-pip 、按照官网进行下载 cd /usr/src git clone...
kali2.0下简介及安装W3af(亲试有效)
Louisnie
09-09 4978
简介: w3af是一个Web应用程序攻击和审计框架,旨在识别和利用所有Web应用程序漏洞。该包为框架提供了图形用户界面(GUI)。如果只需要命令行应用程序,请安装w3af-console。该框架被称为“网络的metasploit”,但它实际上远不止于此,因为它还使用黑盒扫描技术发现了Web应用程序漏洞!w3af核心及其插件完全用Python编写。该项目有130多个插件,可识别和利用SQL注入,跨...
kali-linux 202202 安装w3af命令行版
shroudiwnl的博客
06-20 1411
Kali-Linux安装w3af
WEB安全渗透测试》(21)kali安装w3af指南
午夜安全
10-08 4164
WEB安全渗透测试》(21)kali安装w3af指南 (1)查看版本信息,编辑源文件(2)在sources.list中添加如下:#浙大deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-freedeb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free...
解决Linux下w3af安装问题及安全扫描实战指南
使用标签“w3af”、“kali linux”、“kali安装w3af”、“w3af下载”,用户可能在寻找与在Kali Linux环境下安装w3af相关的帮助或指导,或者是在寻找w3af的最新下载资源。 至于“压缩包子文件的文件名称列表”中提到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值