国内净水器价格联盟

江湖秘笈:高端漏扫和渗透工具是多种子工具组合而成 譬如Metasploit工具下W3af便是如此

e品江湖网络攻防2018-05-22 11:21:27

关注蓝字 看点网络安全

一天一点


Hello,亲爱的看官们,各位在本周工作第一天过的可好呢?2 cats大侠我可是在朋友圈中已经发现某些女性朋友晒出萌萌哒黑眼圈照片,并且配上顶着黑眼圈上班的文字哦。

 

作为一名“过来人”,2 cats大侠表示,年轻就是资本,就是活力,就是时间!可是不能因为这些就毫不顾忌的挥霍它们。



要知道一旦年龄跨过35周岁后,就会明显感觉很多时候跟不上的节奏,无论是脑力、思维还是精力等等。

 

因此,作为年轻人,大家还是要多多注意保养,只有持久的保持良好精神状态,才能时刻准备着迎接安全界不时发出的危险信号。

 

闲话过去,开始今天的主题。


metasploit中的多功能模块W3af


之前由于2 cats大侠我的失误,导致上周的文章出现断档,特别是在对metasploit工具下相关组件方面的知识中,明显有虎头蛇尾的表现,对此,大侠我赶紧更正错误,及时的将丢失掉的内容给看官们补全。


 

W3af是什么情况


在metasploit中有一个组件工具是专门用来进行Web代码审计和应用程序渗透测试使用的,这款工具的名字叫做W3af。具备多个子模块,如攻击、审计、开发、暴力PJ等,这些都可以是针对性使用的模块功能。

 

例如我们选择W3af众多模块中的sqli选项,就是执行审计类中特殊任务。

 

实验演示


1


 

如上图,当我们使用W3af时,可以选择图形界面模式,这当中拥有站点攻击方向及框架组构模型,可以让使用它的看官更加直观和清晰的了解攻击信息。


当然,在确定被测试Web站点后,一旦执行扫描或扫描结束,W3af还会显示相关北侧站点的漏洞信息,为后续进一步针对性漏洞危险测试及工具使用提供帮助。

 

2

 


如上图,这便是在Web站点漏洞扫描之后的结果信息展示页,从中我们可以看到不同颜色和类型的漏洞信息。

 

对于W3af所发现的Web站点漏洞,我们可以借助配置插件中的“exploit”标签进行标注,然后进行下一步攻击实验。这样,W3af就会帮助我们得到被测试站点的webshell。

 

W3af有一个非常不错的优点,就是可以将扫描结果导出为HTML格式,方便看官们阅读和使用。






2cats 寄语

老规矩不变,

如果有任何问题依旧可以发给e品小顽童。


小顽童的邮箱是:

xiaowantong@epinjianghu.com。

 

也可以在微信公众号的下方留言,我们会及时整理反馈的。

 

期待各位的来信交流!


Believe

  e品江湖 

  不失初心 不忘初衷

长按扫码 加关注!