安全参透之旅第3章 Webshag工具

最新推荐文章于 2022-09-11 17:48:29 发布
置顶 最新推荐文章于 2022-09-11 17:48:29 发布
阅读量1.8k 收藏
点赞数
分类专栏: KALI LINUX参透之旅
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/strom2418/article/details/49533113
版权
--Webshag工具


webshag是一个用于对web服务器进行安全审计的跨平台多线程工具。Webshag会收集那些通常对Web服务器
有用的功能,比如端口扫描、URL扫描和文件模糊测试。可以通过代理和HTTP身份认证(基于认证或摘要认证),
用它来以HTTP或HTTPS的方式扫描WEB服务器。此外Webshag可以凭借IDS规避能力,使请求之间的相关性变的更
复杂。


webshag工具新增功能,比如获取目标机器上托管的域名列表,以及使用动态生成的文件名进行模糊测试。
webshag还可以进行WEB页面的指纹收集,从而能够防止内容变化。这个功能是作为移除假阳的算法而设计,
在处理服务器返回“soft 404”响应。
(注意这里的假阳算法是指化验单(医学)中的阳性和阴性(阳性代表“+”而阴性代表“-”))


root@bt:/pentest/enumeration/web/webshag# ./webshag_cli.py www.google.com.tw -f '/tmp/test_report.html'
~~~~~~~~~~~~~~~~~~~~~~~~~~ ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
% webshag 1.10
% Module: uscan
% Host(s): www.google.com.tw
% Port(s): 80
% Root(s): /
~~~~~~~~~~~~~~~~~~~~~~~~~~ ## ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
www.google.com.tw / 80
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


% BANNER %      HTTP server (unknown) => unknown


% INFO %        FP(/) => 200#text/html#86e8d512a54057ab32dbb2aef43243c4#74b69dbdd8d5b891a35e75c488abd51e


% INFO %        FP(/kxTM3w46) => 302#text/html#c9e64edd66833ee1adb2fcdcf1d09b24#789926584a33db40f20a1dbcfe0dabb7


% INFO %        FP(/index.php) => 302#text/html#5520fe63041ba7d7a2ce4d7bb4b73f96#789926584a33db40f20a1dbcfe0dabb7


% INFO %        /robots.txt found. It might be interesting to have a look inside.


% 302  %        /./
% DESC %        Redirected to: http://www.google.com.tw/


% 301  %        /help/
% DESC %        Redirected to: http://www.google.com.tw/support/?ctx=web&hl=zh-TW

接着就是慢长的等待。。。。等待出结果。

附带此工具的英文说明文档地址:http://www.scrt.ch/outils/webshag/ws100_manual.pdf

随行之旅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
黑客入门——最好用的渗透测试工具
Jason__zhao的博客
01-30 1330
渗透测试的目的是尽可能多地发现安全漏洞
渗透工具学习
zcc1414的专栏
09-09 5369
下面是我学习渗透时的工具学习: 1 httrack  可以拷贝网站  做挂马 等工具使用 kali 上 安装它,然后创建目录  myweb  登陆上去  httack 输入网站名 可以定制抓什么文件,然后就拷贝成功了 2 nmap 很强大   #nmap 192.168.1.1/24 扫描整个子网段 扫描多个目标,命令如下: #nmap 192.168.1.2 192.168.1.
hacker入门——最好用的渗透测试工具
华农老林的博客
10-12 1万+
前言: 本博客所有的黑客方面知识交流讨论仅供学习,请勿用于从事非法勾当! 苟利国家生死已,岂因福祸避趋之! 渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作,这也是进行攻击前的第一个环节。 当然,是在恶意黑客找到这些漏洞之前,而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另一些则需要支付费用,但这篇文向你保证,值得一看。 下面列举17个常用的渗透工具供大家参考。...
Kali Linux渗透测试第二步:漏洞评估
江左盟的博客
12-04 1万+
Kali自带了很多漏洞扫描工具,如下: 1、Webshag:webshag是安全审计的跨平台多线程工具。会收集对web服务器有用的功能,如端口扫描,web爬虫,URL扫描和文件模糊测试。 2、Skipfish:这是一款web应用安全侦查工具。它会利用递归爬虫和基于字典的探针生成一幅交互式网站地图。 用法:skipfish –o[输出位置] –w[字典文件位置] [目标网站] 扫描结束...
(2)kali第三 服务器攻击
fanlinnana的专栏
01-23 2310
第三 服务器端攻击 1.Webshag可以对WEB服务器进行端口扫描、URL扫描和文件模糊。可以扫描HTTP和HTTPS。具有IDS躲避功能。 在Web程序-web漏洞扫描-Webshag中打开,在Target中输入目标域名,然后点确定。Spider等其它选项卡也可以同时扫。 2.Skipfish web程序-web漏洞扫描-skipfish打开,从https://code.google
操作系统入门与实践-参透技术本质完结9
01-09
众所周知,操作系统是计算机的基石,理解操作系统有助于写出正确的、性能更好、稳定性更高的程序,是技术各路大厂面试官重点考察的能力之一,成为越来越多程序员的必修课,因此,我在本文中将带领大家从0到1参透技术...
完结9操作系统入门与实践-参透技术本质
最新发布
01-09
Linux操作系统具有稳定性、安全性、可靠性和灵活性等特点,广泛应用于服务器领域,也被许多个人用户选择作为他们的主要操作系统。Linux提供了丰富的命令行工具和图形界面,支持各种编程语言和软件开发环境,是一个...
八大案例,带你参透SQLServer优化
02-25
常见的分析性能问题的工具有三种:诊断硬件资源,等待类型,性能语句。硬件资源通常有四个方面判断:CPU监控,性能计数器主要包括%ProcessorTime、ProcessorQueueLength、Batchrequest/sec、Transactions/sec(total_...
两万字带你认识黑客在kali中使用的工具
热门推荐
qinshuoyang1的博客
09-11 2万+
Kali系统预装了大量的安全工具,可以说是一个安全工具的数据库。在kali2018.2系统中就有600多个工具工具如此之多,掌握所有的工具是不现实的,只有需要用的时候再去学习工具的使用即可。但是了解这些工具的用途,掌握一些常用的安全工具是必要的,本篇文主要对一些常用的安全工具进行介绍,这里只需要简单地了解一下这些工具的用途和使用方法,在后边的文中将会用到这些工具完成相应的实操,还会具体讲解这些工具的使用。
网络攻防之——WEB漏洞扫描
The__Apollo的博客
03-26 6736
cadaver这个工具是一个用来浏览和修改WebDAV共享的Unix命令行程序。这种工具就是以一种客户端,命令行的格式链接webdavDAVtest测试对支持WebDAV的服务器上传文件等语法:davtest -url http://222.28.136.226/dav/deblaze针对FLASH远程调用等的枚举,一般在xss或者较深入的web安全中可能会用到Fimap文件包含漏洞利用工具Grab
kali linux工具
01-16
kali linux渗透测试工具集,包含许多渗透测试的工具,包括信息收集,提权,web渗透,无线渗透
KaliLinux教程
07-13
新版KaliLinux书籍 渗透工具讲解
kali-linux渗透测试之软件包安装(命令)
weixin_43803070的博客
05-09 7196
前言 虽然kali中已经自带了许多软件,但是我们处于以下原因,可能还需要从软件仓库之外安装程序: kali Linux所采用的软件版本,可能不是最新的版本。 kali Linux 的软件仓库可能没有收录您所需要的软件。 Debian中有许多管理软件包的程序:比如dpkg、apt、aptitude程序。 接下来我们讨论一下与apt安装的有关命令。 1.如果需要在软件仓库查询某个软件的名称。 ap...
Kali linux 自学心得
weixin_34194702的博客
01-02 2320
一.kali 安全***的一般测试 流程1.信息收集目标在线主机,域名信息,邮箱地址,常用密码,同网段信息,子域名信息,指纹信息,端口信息2.漏洞分析cisco工具集(cisoco工具)fuzzing工具集openvas开源评估软件扫描工具集数据库评估软件3.漏洞利用4.权限维持(创建一个后门)5.文档编辑二.谷歌***(goole hacker)1.通过互联网searchd...
手把手教你在kali-Linux 2020.3安装webgoat
M0nH1N的博客
07-29 2877
目录 前言 一、webgoat是什么? 二、安装过程 1.下载webgoat 2.直接拖入kali并创建一个webgoat的文件夹 3.检测Java环境~ 4.在终端打开webgoat-server-8.0.0.M26.jar的文件夹 5.输入代码运行~ 6.waiting~ 7.启动成功 8.浏览器直接访问 9.注册登入即可访问 三、可能存在的问题 总结 前言 随着社会的发展,网络安全意识已深入人心。对于初入安全行业的小白来说,需要一个集学习、练习于一体的平台,...
Back Track 5 之 Web踩点 && 网络漏洞
weixin_34174132的博客
12-24 130
Web踩点 CMS程序版本探测 Blindelephant 针对WORDPRESS程序的踩点工具,通过比较插件等一系列的指纹,判断版本。 格式: Python Blindelephant.py [参数] url appname   表示很蛋疼,什么情况。 Whatweb Web应用程序探测工具。 初次使用会提示在终端执行: ...
kali自动化渗透神器websploit模块介绍
Grey的博客
01-05 7370
websploit安装websploitroot@kali2:~# apt-get install websploit root@kali2:~# websploit db d8b db d88888b d8888b. .d8888. d8888b. db .d88b. d888888b d888888b 88 I8I 88 88' 88 `8D ...
kali密码攻击之——在线攻击工具
The__Apollo的博客
04-22 1万+
密码攻击是安全测试中必不可少的一环,下图为kali对在线密码攻击的工具的分类 Cewl该工具可以通过爬行网站获取关键信息创建一个密码字典。例如输入一个url,它通过提取返回这个url页面源码标签中的一些内容,把这些内容组合成字典,对管理员密码的一个特定枚举就更高效一些。 CAT(Cisco-Auditing-Tool思科审计工具)一个很小的安全审计工具,扫描思科路由器的一般性漏洞,例如默认密码,
参透 delphi源码
09-08
参透 Delphi 源码是一项具有挑战性的任务,需要具备一定的编程经验和对 Delphi 开发语言的深入了解。 要参透 Delphi 源码,首先需要熟悉 Delphi 的基本语法和类库。可以通过学习 Delphi 相关的书籍和在线资源,了解 Delphi 的语法规则和常用类库的使用方法。同时,还可以参考 Delphi 官方文档,以获得深入了解 Delphi 组件和库的详细指南。 其次,需要深入理解 Delphi 的设计原理和架构。Delphi 是由 Object Pascal 编程语言开发的,并且内置了许多可重用的组件和库。因此,了解 Delphi 的设计原理和架构对于理解源码非常重要。可以通过阅读 Delphi 源码中的注释和开发文档,以及参与 Delphi 开发社区的讨论,来获得更深入的了解。 最后,还需要具备阅读和理解大型代码库的能力。Delphi 的源码庞大而复杂,包含了许多模块和类库。因此,要深入理解 Delphi 源码,需要具备分析代码和理清思路的能力。可以通过逐步调试和追踪代码执行路径,深入了解 Delphi 的实现原理。 总之,要参透 Delphi 源码,需要建立在扎实的 Delphi 编程基础之上,并通过深入研究和实践不断提高。这需要耐心和毅力,但一旦能够掌握 Delphi 源码,将能够更好地理解和使用 Delphi 开发工具,提高开发效率并解决更复杂的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

随行之旅

python国产化自动化

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值