w3af使用心得和基本技巧
后来问了问基友貌似也无法解决,查了查资料发现是debian的老问题,解决如下:
编辑/boot/grub/grub.cfg
找到win将–set改为–set=root
但是蛋疼的是只能下次启动的时候成功,一次性的。。。至于怎么永久解决我也不知道,如果大牛您解决了这个问题请联系我,谢谢~
今天来说说w3af的基础问题
w3af是个Web 应用攻击和漏洞分析框架,如果你想下载可以到官网http://www.w3af.com/#download进行下载
貌似是有发行包和SVN,但是我也比较菜,用发行包吧
平台:
这个东西在所有支持python的平台都可以运行(壮哉我大蟒蛇)
此处我以linux为例,因为我的系统是kali linux,说起来比较方便
安装
w3af有GUI界面,所以安装的话也分核心程序安装和GUI安装两步,基本是无闹安装,但也有要手动的,命令如下:
cd w3af/extlib/fpconst-0.7.2
python setup.py install
cd SOAPpy
python setup.py install
cd pyPdf
python setup.py install
安装大概就这样,接下来介绍一下功能啥的好了
w3af有三种类型的插件:漏洞挖掘(discovery)、漏洞分析(audit)和漏洞攻击(attack)
挖掘很给力,有其实spider爬行
分析的话会罗列出挖掘的漏洞,并进行危险等级初步分类
漏洞攻击基本上都是获得一个远程服务器shell或者是sql注入
运行及使用
控制台界面
要运行控制台界面即输入./w3af_console
输入help可以看到帮助文档
也可以在help后跟参数具体看到某个参数的帮助文档(命令均可以补全)
下面我们进入配置菜单http-settings
用view罗列出所有可配置参数
例如你要配置timeout参数即输入set timeout
按back或者ctrl+c返回上层菜单
其实就我而言我基本不配置参数的。。。因为默认的感觉就行。。。
GUI
键入命令./w3af_gui即可
这是漏洞插件啥的
这些插件的使用可以在plugins模块里进行配置
比如,俺要启用xss和sql
启动
在配置就绪后即刻启动
图形界面基本无脑操作,就说控制台好了,键入命令target
然后设置目标地址
set target http://xxxxxxx
键入back返回上层
键入start开始启用
————————————我是分割线———————————————–
基本使用啥的就是这样,具体的有关于漏洞挖掘和模块设置等俺改天再写~~~陪妹子聊天去了~
推荐阅读