w3af的使用

最新推荐文章于 2024-04-02 16:40:54 发布
最新推荐文章于 2024-04-02 16:40:54 发布
阅读量6.3k 收藏 16
点赞数 4
分类专栏: 工具 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shawdow_bug/article/details/121390435
版权

一开始测试的是 linux 的最新版 w3af,虽然是最新版,但这个工具也有多年未更新了,可能对实战的实用性已经不高了。另外,因为这款工具基于python2.x 开发的,现在已经到 python3.x 了,连 linux 的 apt 源也已经去掉很多 python2.x 有关的模块和工具了,所以在安装和使用 w3af 的时候,出现了很多问题,导致我放弃了这款工具(不过,windows下的 w3af 还是能使用的,版本低而已)。尽管如此,还是通过这款工具了解一款 web 应用漏洞扫描器的组成部分。

启动 w3af

cd w3af/extra/docker/scripts/
./w3af_console_docker

提示输入 root 密码,输入 w3af,进入到 w3af 控制台,输入 help 命令:

主界面功能

  • start:启动扫描
  • plugins:启动和配置插件
  • exploit:漏洞利用
  • profiles:加载配置文件,配置文件是有关 plugins 的配置项,也可以保存下来。
  • cleanup:清空plugins配置
  • target:配置目标URL
  • back:返回上一级
  • exit:退出 w3af

plugins组成

最新版和旧版本的 plugins 组成,这里看下最新版的,输入plugins命令进入 plugins 配置,然后输入 help:

 各个模块的功能:

  • auth:认证模块。
  • brutefore:登录功能的暴力破解,支持基本认证机制(HTTP基本认证)和表单。
  • evasion:入侵模块,漏洞利用方面的。
  • crawl:爬虫模块,后续漏洞发现都基于它爬取的 URL。
  • grep:搜索模块,捕获HTTP请求和回答过程中的一些信息。
  • mangle: 修改模块,基于正则表达式修改 http 请求和回答。
  • audit:审计模块,含有探测各种漏洞的插件。
  • output:输出模块,将扫描结果输出到文件中。
  • infrastructure:基础设施模块。

探测漏洞

(1)首先配置 crawl 模块的 web_spider 插件,这是必需的:

crawl web_spider     # 开启插件
crawl                # 查看插件列表和状态

 可以看到 web_spider 那一行的 Status 项为 Enabled,表明开启了这个插件。

(2)查看 web_spider 的配置项:

crawl config web_spider     # 进入 web_spider 的配置
view                        # 查看 web_spider 的配置项

 only_forward是仅爬取给出的目标 URL 的同一路径下的 URL,如果为 False,那么就会将爬取所有的 URL。ignore_regex 忽略符合设置的正则模式的 URL,follow_regex 跟踪符合设置的正则模式的URL,先执行 ignore_regex 策略,再执行 follow_regex 策略。

(3)配置 web_spider 的参数:

set only_forward True
back                    # 回退

(4)配置 auth 模块的插件,设置探测 sqli 漏洞:

audit sqli            # 开启 sqli 插件
audit

 (5)配置 output 模块,输出扫描报告:

output html_file                         # 开启 html_file 插件
output config html_file                  # 配置 html_file 插件
set output_file /root/w3af-shared/report-test.html  # 设置报告输出的文件
set verbose True                         # 开启详细的报告,报告中会有扫描的具体过程
back
back

(6)配置 target,设置目标 URL:

target          # 进入 target 配置
set target http://10.10.10.129/dvwa/    # 设置目标 URL
back

(7)启动扫描:

start

如果出现很多新的 URL ,那么说明正在扫描了。但这个版本的 w3af 在扫描几次就会出现不能扫描的情况,报错的信息是:database disk image is malformed。这是 sqlite3 的报错信息,具体原因尚不清楚,就算重新启动 w3af 也不行,只能重启系统。

(8)最后查看扫描报告,因为 w3af 在 docker 容器中,所以作者创建容器和宿主机的两个共享文件夹:

  • 容器中的 /root/w3af-shared 目录映射到了宿主机的 ~/w3af-shared 目录。
  • 容器中的 /root/.w3af 目录映射到了宿主机的 ~/.w3af 目录。

 

 report-test.html

最后

这个 docker 版的 w3af 是新版本,但 bug 太多了,而且基于 python2.x 开发,导致的问题更多,所以不推荐使用。windows的 w3af 旧版本,倒是还可以使用,软件包提供了 python2.6,bug也没那么多。

 

friEnd`
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
w3afweb安全工具
04-24
web安全工具,W3af是一个基于Python的Web应用扫描器。
w3af命令使用中文说明文档
11-30
w3af命令使用中文说明文档
【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
bdfcfff77fa的博客
04-02 406
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
w3af_1.0安装包
01-27
w3af_1.0安装包,是一个比较老的版本。不知道怎么回事,变成6积分了,开始设定的事最低,想改成0积分,不知道可不可以,先试一下。摘要还要50字以上
w3af入门使用.pdf
03-02
w3af的强大之处就在于他的插件数很多,需要灵活的利用
w3af安装及使用.pdf
03-02
w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.
w3af 基于Python的Web应用扫描器
无痕的博客
12-13 1638
w3af ,是一个 基于python的Web 应用程序攻击和检查框架
安全测试之w3af 安装
没有蛀牙lm的博客
09-21 589
学习安全测试时,离不开一些安全扫描工具,在类目众多的工具中,w3af是个绕不开的集成工具。由于没有linux环境,故在windows下利用wsl进行部署。亦可通过其它虚拟机安装亦可。
分享渗透测试工具使用案例
2301_76161259的博客
04-06 705
Web 应用程序框架是主要用于发现漏洞的安全扫描器。可以在几乎 Web 应用程序渗透测试中使用 W3af 来快速探测目标网站及其托管服务器。首先,键入“cd w3af.d”打开 W3af 控制台。进入正确的目录后,输入“./w3af_console”打开 w3af.接下来,输入“target”,“set target xxxx”并回车。输入“back”跳转一个目录,配置将被保存。最后,输入“set plugins”以选择所需的扫描选项。
W3af 安装与基本应用(windows10版)
weixin_43817670的博客
06-08 7958
w3af简介 W3af的核心代码和插件是完全用Python编写的,也是一款非常强大的扫描工具,扫描漏洞的能力也是非常的强,缺点就是他不会自动爬取子域。 安装 安装地址:https://pan.baidu.com/s/16wvoVyQduKuZofL5CdUFrg 提取码:dx80 下载完事之后就疯狂下一步就好啦… 基本应用 然后进入图形界面,点击full_audit这一步是为了配置扫描模式 如果想要导出报告的话就点击下面的output,在里面选择htmlFile(这样导出的报告就是html的格式啦),如果
w3af: 动态 Web 应用程序漏洞扫描器
gitblog_00038的博客
03-15 443
w3af: 动态 Web 应用程序漏洞扫描器 w3af 是一个用于动态 Web 应用程序安全审计的开源工具。它可以帮助开发人员和渗透测试工程师发现并修复网站的安全漏洞。 w3af 的功能 w3af 提供了以下功能: 自动化检测 OWASP Top Ten 中列出的各种常见漏洞。 支持多种漏洞类型,包括 SQL 注入、XSS 攻击、文件包含等。 可以通过插件扩展其功能,例如支持对特定框架或 CM...
w3af高级使用.pdf
03-02
w3af的高级用法,包括脚本扫描,登陆扫描等其他高级技巧。
w3af for windows
03-15
w3af Windows版本,安装的时候需要python环境,如何安装python自行百度。
Kali的w3af安装及创建快捷方式的【详细】教程
胡乱写点什么
07-23 3943
Kali安装w3af详细教程 我为了安装个w3af花了10个小时,因为网上能参考的教程比较少,有些报错的解决方法甚至网上都没有,特意记录下来,以供大家参考。 首先,由于kali2.0自带的w3af在扫描时会自动卡死,而且kali在2019.2发布的版本中去除了w3af,所以我们需要自己安装。我们需要准备以下三个环境: Git 客户端:安装命令 sudo apt-get install git...
kali新手入门教学(4)--w3af的安装&解决python-webkit无法安装的问题&kali添加ubantu的源
azraelxuemo的博客
08-18 2972
w3af是一个很不错的web审计和攻击应用。好像在老版的kali上是自带的,新版的kali需要下载 https://github.com/andresriancho/w3af.git这个是github的原址 以下是官网的下载指导 git clone https://github.com/andresriancho/w3af.git apt-get install -y python-pip pip install --upgrade pip cd w3af ./w3af_console . /tmp/w3
w3af解析
FLYTOSKY的专栏
12-28 2883
1. w3af简介 w3afis a Web Application Attack and Audit Framework.即Web应用攻击和审计框架。w3af用python编写,依赖的库主要有2类,分别如下: Core requirements: Python 2.6 fpconst-0.7.2:用于处理IEEE 754浮点数; nltk:自然语言处理工具包; SOAPpy:SOA
W3af详细安装与基本使用
xlsj雪松的博客
08-08 4269
安装 安装过程复杂而艰辛!!!! cd ~ 去根目录下安装 apt-get update pip install --upgrade pip git clone https://github.com/andresriancho/w3af.git cd w3af 安装pybloomfiltermmap sudo apt install -y python-pybloomf...
使用 Zap 和 W3af 进行 Web 应用程序漏洞评估
allway2的博客
08-07 1065
因此,它对我的​​目的来说是一个有用的工具,因为它可以用来执行 Web 应用程序的渗透测试和漏洞评估,引入了一个强大且易于使用的工具。对于主动分析,给定网站的初始根 URL,这些工具在内部构建带有链接和节点的图,并向找到的每个节点发送请求。另一方面,主动攻击分析作为测试用例可能非常有用,可用于了解您的网站是否足够强大,至少可以防止 OWASP 突出显示的主要漏洞或工具支持的漏洞。在本次评估中,被动分析是通过向流行且强大的网站发送少量请求来执行的,其唯一目的是检查工具的潜力以及它们可以收集哪些信息。...
网络安全国赛--w3af测试
夜思红尘的博客
04-17 265
这是关于渗透工具w3af使用测试,是往年的国赛题目
kali安装w3af
最新发布
05-24
w3af是一款流行的Web应用程序漏洞扫描器,可以帮助您发现Web应用程序中的漏洞。以下是在Kali Linux上安装w3af的步骤: 1. 首先打开终端,更新Kali Linux的软件包列表,输入以下命令: sudo apt-get update 2. 安装w3af所需的依赖项,输入以下命令: sudo apt-get install git python-pip libxml2-dev libxslt-dev libssl-dev 3. 克隆w3af存储库,输入以下命令: git clone https://github.com/andresriancho/w3af.git 4. 进入w3af目录,输入以下命令: cd w3af/ 5. 运行安装程序,输入以下命令: ./w3af_console 6. 进入w3af控制台,输入以下命令: ./w3af_console 7. 在w3af控制台中,输入以下命令来安装w3af的所有插件: plugin_update all 8. 安装完成后,输入以下命令来运行w3afw3af_gui 以上就是在Kali Linux上安装w3af的步骤。如果您遇到任何问题,请在评论中提出您的问题,我将尽力帮助您解决。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值