W3af详细安装与基本使用

最新推荐文章于 2024-06-05 11:22:49 发布
最新推荐文章于 2024-06-05 11:22:49 发布
阅读量4.4k 收藏 15
点赞数 3
分类专栏: kali Linux工具使用 文章标签: w3af w3af安装 w3af使用 w3af使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlsj228/article/details/98719312
版权

 安装

安装过程复杂而艰辛!!!!

  •  cd ~ 去根目录下安装
  • apt-get update
  • pip install --upgrade pip
  • git clone https://github.com/andresriancho/w3af.git
  • cd w3af

  • 安装pybloomfiltermmap

    sudo apt install -y python-pybloomfiltermmap

pybloomfiltermmap版本为0.3.15 w3af文件中需要安装的版本为0.3.14 并且kali自带的lxml和openssl版本与w3af中需要安装的版本也不一样 修改w3af文件改成kali自带的版本 否则安装的时候会出错,分别进入requirements.py和platforms/mac.py内修改成如下版本:

vim w3af/core/controllers/dependency_check/requirements.py
修改如下:
PIPDependency(‘pybloomfilter’, ‘pybloomfiltermmap’, ‘0.3.15’),
PIPDependency(‘OpenSSL’, ‘pyOpenSSL’, ‘16.2.0’),
PIPDependency(‘lxml’, ‘lxml’, ‘3.7.1’),
vim w3af/core/controllers/dependency_check/platforms/mac.py
修改如下:
MAC_CORE_PIP_PACKAGES.remove(PIPDependency(‘pybloomfilter’, ‘pybloomfiltermmap’, ‘0.3.15’)
  • . /tmp/w3af_dependency_install.sh(执行相应脚本安装命令,其实就是需要安装的环境)
  • ./w3af_console 命令行界面  (./w3af_gui图形界面)

注意1:

如果输入以下命令:pip install pyyaml==3.12报错,那你的版本可能比3.12高,所以需要降级。

但是使用pip uninstall pyyaml会报错,由于PyYAML的依赖过多,不能清晰地删除,所以我们执行以下命令:

sudo pip install pyyaml==3.12 --ignore-installed nibabel

 注意2:

提示no module named webkit,我们要安装webkit


(1)下载webkit以及依赖

wget http://ftp.br.debian.org/debian/pool/main/p/pywebkitgtk/python-webkit_1.1.8-3_amd64.deb

wget http://ftp.br.debian.org/debian/pool/main/w/webkitgtk/libjavascriptcoregtk-1.0-0_2.4.11-3_amd64.deb

wget http://ftp.br.debian.org/debian/pool/main/w/webkitgtk/libwebkitgtk-1.0-0_2.4.11-3_amd64.deb

wget http://ftp.br.debian.org/debian/pool/main/p/python-support/python-support_1.0.15_all.deb

(2)安装依赖和软件包

dpkg -i libjavascriptcoregtk-1.0-0_2.4.11-3_amd64.deb

dpkg -i python-support_1.0.15_all.deb

dpkg -i libwebkitgtk-1.0-0_2.4.11-3_amd64.deb

dpkg -i python-webkit_1.1.8-3_amd64.deb
(3)修复依赖
apt-get -f install -y

注意3:

出现这种情况==》》libjavascriptcoregtk-1.0-0:amd64 依赖于 libicu57 (>= 57.1-1~);然而:未安装软件包 libicu57。

补充新的包和依赖

wget http://ftp.de.debian.org/debian/pool/main/i/icu/libicu57_57.1-6+deb9u2_amd64.deb

dpkg -i libicu57_57.1-6+deb9u2_amd64.deb

注意4:

未安装软件包 libpango1.0-0

apt-get install libpango1.0-0
apt --fix-broken install

使用

1 升级

git pull

2 创建图形化界面的快捷方式

(1)进入桌面:cd /桌面

(2)创建w3af.desktop:vi w3af.desktop (然后退出)

(3)右键w3af.desktop,选择“用文本编辑器打开”

(4)输入以下内容

[Desktop Entry]
Type=Application
Name=w3af
Encoding=UTF-8
Exec=sh -c "/root/w3af/w3af_gui"
Icon=/root/w3af/w3af.png
Terminal=false
Categories=w3af



#直接粘贴复制就行
#注意:Exec=sh -c "/root/w3af/w3af_gui"、Icon=/root/w3af/w3af.png与自己的目录相对应

补充:
(1)[Desktop Entry] 每个桌面项文件的第一行和每节的开头,标识与桌面集成的键值对块,是桌面正确识别文件所必须的。
(2)Type(必填):定义了Desktop Entry文件的类型。常见的Type数值是Application和Link。Application表示当前Desktop Entry文件指向了一个应用程序; Link表示当前Desktop Entry文件指向了一个URL。
(3)Name(必填):定义了应用程序的名称。
(4)Exec(选填):定义了启动指定应用程序所要执行的命令,该关键字只有在Type=Application时才有意义。
(5)Icon(选填):定义了当前Desktop Entry文件在应用程序浏览器或在文件浏览器中所显示的图标。
6)Terminal(选填):布尔类型,该关键字只有在Type=Application时才有意义。其数值指出了是否需要在终端窗口中运行。
(7)Comment(选填):该数值是对当前Desktop Entry的简单描述。
(8)Categories(选填):该数值指出了相关应用程序在菜单中显示的类别。只有在Type=Application时才有意义。

 (5)赋予权限

chmod +x w3af.desktop

(6)若你的快捷方式还是不能运行,则点击下图所示的“Allow Launching”。

 3 基本使用

命令行使用方法:

以下内容来自于:https://www.freebuf.com/column/146469.html

一、九大插件

1.Crawl(爬取)类

职责:通过爬取网站站点来获得新的URL地址。

如果用户启用了Crawl类型的多个插件,此时将产生一个循环: A插件在第一次运行时发现了一个新的url,w3af会将其发送到插件B。如果插件B发现一个新的url则会发送到插件A。这个过程持续进行直到所有插件都已运行且无法找到更多的新信息。

2.Audit(审计)类

该类插件会向Crawl插件爬取出的注入点发送特制的POC数据以确认漏洞是否存在。

3.Attack(攻击)类

如果Audit插件发现了漏洞,Attack将会进行攻击和利用,通常会在远程服务器上返回一个shell或者比如SQL注入则会获取数据库的数据。


4.Infrastructure(基础)插件

这类插件用来标识有关目标系统的信息,如安装的WAF,操作系统和HTTP守护进程等。

5.Grep(检索)插件

这类插件会分析其他插件发送的HTTP请求和相应并识别漏洞。

6.Output(输出)插件

这类插件会将插件的数据保存到文本,xml或者是html文件中。调试的信息也会发送到输出Output插件并可保存和分析。

如果启用了text_file和xml_file这两个Output插件,则这两个都会记录有Audit插件发现的任何漏洞。

7.Mangle插件

允许修改基于正则表达式的请求和响应。

8.Broutforce插件

在爬去阶段进行暴力登陆。

9.Evasion(绕过)插件

通过修改由其他插件生成的HTTP请求来绕过简单的入侵检测规则。

 二、开始使用

$ ./w3af_console

w3af>>>

通过”help“命令查看帮助信息,“help”命令可以带一个参数,如果参数有效,则会显示该参数命令的详细帮助信息。

运行1.png

运行2.png

所有的插件配置菜单都提供了以下命令:

help:获得每个配置参数的详细帮助

view:列出所有可配置参数及其值和说明

set:用于更改值

back:返回上一个菜单,也可以使用Ctrl+C

三、插件配置

除了攻击插件之外,所有插件都可以使用plugins这个配置菜单进行配置。

下面是列出Audit(审计)类型的所有插件:

插件1.png插件3.png

假设要启用xss和sqli插件,需要用到以下命令:

插件2.png插件4.png

我们可以在audit中看到Status为Enabled。

插件3.png插件5.png

如果带上desc命令,还会显示这个插件的详细信息。

插件4.png插件6.png

查看xss插件的配置菜单。

插件5.png

在配置菜单可以使用view列出配置参数和值说明也可以使用set进行修改,如修改True为false:

插件6.png

保存配置:

配置好了插件和框架配置就可以将配置保存在配置文件中。

插件7.png

四、开始扫描

配置插件——常规扫描的话,我们建议使用以下的配置运行w3af:

crawl类插件使用web_spider插件

audit 类插件设置成Enable all

grep类插件设置成Enable all

配置命令如下:

扫描1.png

插件状态:

扫描2.png

扫描3.png

扫描4.png

输出扫描报告——output

不设置默认只会在console上输出扫描信息。

一般我们再加上输出csv_file(表格)和html_fiel(网页)两种格式的扫描报告。

扫描6.png插件6.png

扫描报告默认会保存在/root目录下,你可以使用out config命令去设置。

保存配置——profiles

扫描7.png

设置目标,开始扫描——target,start

这边使用Web For Pentester作为漏洞靶场例子。

w3af>>> target

w3af/config:target>>> set target http://ip/

w3af/config:target>>> back

w3af>>> start

安全学习交流群:687398569

凌木LSJ
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
W3af中文说明文档
07-18
w3af是一个集漏洞扫描,攻击于一体的平台,使用python写成,是一款开源软件。本文档介绍了w3af基本使用方法。
kali linux(全版本)详细安装w3af指南(文内提供成品镜像下载)
热门推荐
Deng's Blog
03-15 6万+
在网上搜索w3af安装指南的过程中,发现现有指南已经不适用于2018年至之后的许多kali linux版本,因此在这里更新一下安装指南,为大家排坑的同时,抛砖迎玉,欢迎讨论。
保姆级渗透测试入门教程(非常详细),从零基础入门到精通,从看这篇开始!
最新发布
xx16755498986的博客
06-05 1370
渗透测试:指的是试图利用系统、网络、人力资源或实物资产中的弱点或漏洞,以对安全控制的有效性进行压力测试。
W3af 安装基本应用(windows10版)
weixin_43817670的博客
06-08 8175
w3af简介 W3af的核心代码和插件是完全用Python编写的,也是一款非常强大的扫描工具,扫描漏洞的能力也是非常的强,缺点就是他不会自动爬取子域。 安装 安装地址:https://pan.baidu.com/s/16wvoVyQduKuZofL5CdUFrg 提取码:dx80 下载完事之后就疯狂下一步就好啦… 基本应用 然后进入图形界面,点击full_audit这一步是为了配置扫描模式 如果想要导出报告的话就点击下面的output,在里面选择htmlFile(这样导出的报告就是html的格式啦),如果
w3af 基于Python的Web应用扫描器
无痕的博客
12-13 1965
w3af ,是一个 基于python的Web 应用程序攻击和检查框架
w3af使用
shawdow_bug的博客
11-18 7404
一开始测试的是 linux 的最新版 w3af,虽然是最新版,但这个工具也有多年未更新了,可能对实战的实用性已经不高了。另外,因为这款工具基于python2.x 开发的,现在已经到 python3.x 了,连 linux 的 apt 源也已经去掉很多 python2.x 有关的模块和工具了,所以在安装使用 w3af 的时候,出现了很多问题,导致我放弃了这款工具(不过,windows下的 w3af 还是能使用的,版本低而已)。尽管如此,还是通过这款工具了解一款 web 应用漏洞扫描器的组成部分。 启动 w
w3af: 动态 Web 应用程序漏洞扫描器
gitblog_00038的博客
03-15 665
w3af: 动态 Web 应用程序漏洞扫描器 w3af 是一个用于动态 Web 应用程序安全审计的开源工具。它可以帮助开发人员和渗透测试工程师发现并修复网站的安全漏洞。 w3af 的功能 w3af 提供了以下功能: 自动化检测 OWASP Top Ten 中列出的各种常见漏洞。 支持多种漏洞类型,包括 SQL 注入、XSS 攻击、文件包含等。 可以通过插件扩展其功能,例如支持对特定框架或 CM...
分享渗透测试工具使用案例
2301_76161259的博客
04-06 772
或 Web 应用程序框架是主要用于发现漏洞的安全扫描器。可以在几乎 Web 应用程序渗透测试中使用 W3af 来快速探测目标网站及其托管服务器。首先,键入“cd w3af.d”打开 W3af 控制台。进入正确的目录后,输入“./w3af_console”打开 w3af.接下来,输入“target”,“set target xxxx”并回车。输入“back”跳转一个目录,配置将被保存。最后,输入“set plugins”以选择所需的扫描选项。
w3af高级使用.pdf
03-02
### w3af高级使用知识点详解 #### 一、认证扫描 **1.1 表单验证** w3af提供了一套强大的工具集用于自动化安全测试Web应用程序,其中表单验证是一项重要的功能。对于大多数Web应用而言,登录过程是通过表单验证...
w3af命令使用中文说明文档
11-30
根据提供的信息,我们可以总结出以下关于“w3af命令使用中文说明文档”的详细知识点: ### w3af简介 w3af是一款开源的Web应用程序安全扫描工具,它可以帮助开发者和安全专家发现并修复Web应用程序中的安全漏洞。...
Web渗透测试 使用Kali Linux.part2.rar
09-08
《web渗透测试:使用kali linux》是一本web 渗透测试实践指南,全面讲解如何使用kali linux 对web 应用进行渗透测试。两位安全领域的专家站在攻击者的角度,一步步介绍了渗透测试基本概念、kali linux 配置方式,带...
软件项目模板-U31 自测报告(模板).doc
03-10
- **被测系统软硬件配置**:详细记录测试环境的硬件配置、操作系统、数据库版本等信息,确保测试环境与实际运行环境一致。 11. **测试结果汇总**:总结测试的整体结果,包括通过率、失败项、待解决问题等。 12. *...
w3af安装(处理python2和3,pip2和3混乱的问题)
开心星人的博客
12-20 625
因为看到源码中有检测csrf漏洞的部分,想单独扒下来,看看能不能用。看一下/tmp/w3af_dependency_install.sh文件。我们将/usr/bin/env中的python换成python2。但我的/usr/bin/env中的python是python3。现在terminal输入python,看到的是python2了。pip 和 pip3 指向的实际都是python3。现在pip2指向python2了。感觉应该是我的环境太乱了,放弃了。将pip指向python2。要求必须是python2。
干货 | 6款漏扫工具来了(附工具下载链接)
2301_77147728的博客
03-28 3808
北极熊是一款综合性的扫描工具,前期的信息收集我们也提到过,那里我们说它是一款爬虫工具有些片面了,也许是我经常用它来爬虫,其实它也集成了网站检测和漏洞扫描功能,只不过它得一步一步的使用,首先对目标站点进行爬虫,再将爬虫过的结果导入网站检测当中扫描,也可以根据前期信息收集情况,选择对应的选项,提高扫描效率,北极熊扫描器也可以通过网上搜索下载。,它有免费试用版和付费版,当然也可以到网上搜索下载,有经济实力的朋友可以考虑购买正版软件,下图就是Nessus的主界面,同样保存着我之前扫描过的两个站点。
w3af解析
FLYTOSKY的专栏
12-28 2924
1. w3af简介 w3afis a Web Application Attack and Audit Framework.即Web应用攻击和审计框架。w3af用python编写,依赖的库主要有2类,分别如下: Core requirements: Python 2.6 fpconst-0.7.2:用于处理IEEE 754浮点数; nltk:自然语言处理工具包; SOAPpy:SOA
【2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
VN520的博客
11-09 1万+
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞。
Kali的w3af安装及创建快捷方式的【详细】教程
胡乱写点什么
07-23 4158
Kali安装w3af详细教程 我为了安装w3af花了10个小时,因为网上能参考的教程比较少,有些报错的解决方法甚至网上都没有,特意记录下来,以供大家参考。 首先,由于kali2.0自带的w3af在扫描时会自动卡死,而且kali在2019.2发布的版本中去除了w3af,所以我们需要自己安装。我们需要准备以下三个环境: Git 客户端:安装命令 sudo apt-get install git...
使用 Zap 和 W3af 进行 Web 应用程序漏洞评估
allway2的博客
08-07 1114
因此,它对我的​​目的来说是一个有用的工具,因为它可以用来执行 Web 应用程序的渗透测试和漏洞评估,引入了一个强大且易于使用的工具。对于主动分析,给定网站的初始根 URL,这些工具在内部构建带有链接和节点的图,并向找到的每个节点发送请求。另一方面,主动攻击分析作为测试用例可能非常有用,可用于了解您的网站是否足够强大,至少可以防止 OWASP 突出显示的主要漏洞或工具支持的漏洞。在本次评估中,被动分析是通过向流行且强大的网站发送少量请求来执行的,其唯一目的是检查工具的潜力以及它们可以收集哪些信息。...
kali安装w3af
05-24
w3af是一款流行的Web应用程序漏洞扫描器,可以帮助您发现Web应用程序中的漏洞。以下是在Kali Linux上安装w3af的步骤: 1. 首先打开终端,更新Kali Linux的软件包列表,输入以下命令: sudo apt-get update 2. 安装w3af所需的依赖项,输入以下命令: sudo apt-get install git python-pip libxml2-dev libxslt-dev libssl-dev 3. 克隆w3af存储库,输入以下命令: git clone https://github.com/andresriancho/w3af.git 4. 进入w3af目录,输入以下命令: cd w3af/ 5. 运行安装程序,输入以下命令: ./w3af_console 6. 进入w3af控制台,输入以下命令: ./w3af_console 7. 在w3af控制台中,输入以下命令来安装w3af的所有插件: plugin_update all 8. 安装完成后,输入以下命令来运行w3afw3af_gui 以上就是在Kali Linux上安装w3af的步骤。如果您遇到任何问题,请在评论中提出您的问题,我将尽力帮助您解决。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值