欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

w3af使用心得和基本技巧

程序员文章站 2022-04-22 18:37:59
先说个题外话,额,我把ubuntu干掉换了kali linux,双系统嘛,在载入GRUB的时候发现win无法启动,报错:error: no argument specified 后来问了问基...
先说个题外话,额,我把ubuntu干掉换了kali linux,双系统嘛,在载入GRUB的时候发现win无法启动,报错:error: no argument specified
后来问了问基友貌似也无法解决,查了查资料发现是debian的老问题,解决如下:
编辑/boot/grub/grub.cfg
找到win将–set改为–set=root

但是蛋疼的是只能下次启动的时候成功,一次性的。。。至于怎么永久解决我也不知道,如果大牛您解决了这个问题请联系我,谢谢~

今天来说说w3af的基础问题

w3af是个Web 应用攻击和漏洞分析框架,如果你想下载可以到官网http://www.w3af.com/#download进行下载

貌似是有发行包和SVN,但是我也比较菜,用发行包吧

平台:

这个东西在所有支持python的平台都可以运行(壮哉我大蟒蛇)

此处我以linux为例,因为我的系统是kali linux,说起来比较方便

安装

w3af有GUI界面,所以安装的话也分核心程序安装和GUI安装两步,基本是无闹安装,但也有要手动的,命令如下:

cd w3af/extlib/fpconst-0.7.2
python setup.py install
cd SOAPpy
python setup.py install
cd pyPdf
python setup.py install

安装大概就这样,接下来介绍一下功能啥的好了

w3af有三种类型的插件:漏洞挖掘(discovery)、漏洞分析(audit)和漏洞攻击(attack)

挖掘很给力,有其实spider爬行

分析的话会罗列出挖掘的漏洞,并进行危险等级初步分类

漏洞攻击基本上都是获得一个远程服务器shell或者是sql注入

运行及使用

控制台界面

要运行控制台界面即输入./w3af_console

w3af使用心得和基本技巧

输入help可以看到帮助文档

也可以在help后跟参数具体看到某个参数的帮助文档(命令均可以补全)

w3af使用心得和基本技巧

下面我们进入配置菜单http-settings

用view罗列出所有可配置参数

例如你要配置timeout参数即输入set timeout

按back或者ctrl+c返回上层菜单

w3af使用心得和基本技巧

其实就我而言我基本不配置参数的。。。因为默认的感觉就行。。。

GUI

键入命令./w3af_gui即可

w3af使用心得和基本技巧

这是漏洞插件啥的

w3af使用心得和基本技巧

这些插件的使用可以在plugins模块里进行配置

比如,俺要启用xss和sql

w3af使用心得和基本技巧

启动

在配置就绪后即刻启动

图形界面基本无脑操作,就说控制台好了,键入命令target

然后设置目标地址

set target http://xxxxxxx

键入back返回上层

键入start开始启用

w3af使用心得和基本技巧

————————————我是分割线———————————————–

基本使用啥的就是这样,具体的有关于漏洞挖掘和模块设置等俺改天再写~~~陪妹子聊天去了~