欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

AWVS应用之HTTP Fuzzer

程序员文章站 2022-04-22 10:16:26
0×01 简介 自己baidu…… 0×02 HTTP Fuzzer 很多时候在web下做爆破工作的工具也有很多,AWVS其中的一个模...

0×01 简介

自己baidu……

0×02 HTTP Fuzzer

很多时候在web下做爆破工作的工具也有很多,AWVS其中的一个模块提供这样的功能,但是不仅仅只限于这样的工作.

首先所有的工具都需要获取HTTP数据包,他是重放浏览器操作的基础.既然是爆破,那么我们肯定是要先进行登录的了.

这里我用DVWA做演示,他包含在OWASP Broken Web Application的ISO中,当然你也可以从官方获取他的副本.

DVWA的登录首页:

AWVS应用之HTTP Fuzzer

LiveHttp抓包:

AWVS应用之HTTP Fuzzer

在HTTP Fuzzer填入刚抓的登录过程的HTTP数据包:

AWVS应用之HTTP Fuzzer

在Generator中可以看到很多方式,可以使用AWVS自带的生成器,也可以选择File Generator来使用自己生成的字典.还可以设定是否编码.

最后在需要穷举的地方指定变量,对应的是你Generator的name属性.图中的蓝色字体部分.设定完成后的如下:

AWVS应用之HTTP Fuzzer

我们还需要设置过滤器,在Fuzz Filter选项中,规则描述随意填写,主要是类型,有Include(包含)Exlude(排除)两种类型.在应答(Apply to)中还可以设定判断的类型,是所有Response的数据还是HTTP状态码(Basic验证方式).这就由个人来取舍了,很多判断错误的页面会302.设置完成别忘记Add,图示如下:

AWVS应用之HTTP Fuzzer

最后就可以start开始了.

0×03 总结

和Burp一样,一个强大的web渗透工具框架当然不会仅仅只有这一小点用处,大家多多交流他的应用吧~

摘自 DarkRay's BLoG.!