kali2.0下簡介及安裝W3af(親試有效)

簡介:
w3af是一個開放源碼的 web應用程序的安全性掃描器。通過增加插件來對功能進行擴展,這是一款用pyhon寫的工具,可以查看所有的源代碼,它提供了有關用於滲透測試活動的安全漏洞的信息。掃描儀提供圖形用戶界面(GUI)和命令行界面。

主要插件類型
W3af框架有三個主要的插件類型:crawl(抓取插件),audit(審計插件),attack(攻擊插件)

抓取插件:其只負責一件事情,就是搜尋新的URL,表單和其他注入點(injection points),web spoder便是一個經典的漏洞挖掘插件.這個插件以一個URL爲輸入,然後的到一個或多個注入點.當用戶使用這種類型的插件時,這些插件會進行這樣的循環:如果插件A在第一次運行時發現了一個新的URL,w3af內核將這個URL傳遞給插件B,如果插件B發現一個新的URL,w3af內核將這個URL傳遞給A.這個過程將一直持續下去,所有的插件都將運行工作,佔用應用資源,直到無法運行漏洞挖掘應用.

審計插件:獲取那些有漏洞挖掘插件找到的注入點,爲了發現漏洞,漏洞分析插件會向所有可注入點發送特別設計的數據.例如使用一個漏洞分析插件來獲取SQL注入的漏洞

攻擊插件:他們的目標是利用審計插件發現的漏洞.他們通常在遠程服務器上返回shell,或者在SQL注入漏洞的情況下返回遠程表的轉儲

其他插件:
基礎設備:確定有關目標系統的信息,例如已安裝的WAF(Web應用防火牆),操作系統和HTTP守護程序

Grep篩選:分析由其他插件發送的HTTP請求和響應,並識別漏洞,例如,grep插件會在HTML正文中找到包含”password”一詞的註釋並生成漏洞.

Output輸出:框架和插件與用戶通信的方式.輸出插件將數據保存爲text,xml或html文件,調試信息也會發送到輸出插件,則兩者都將記錄審計插件的任何漏洞

Mangle:允許基於正則表達式修改請求和響應,請參考web的sed(流編輯器)

Bruteforce暴力破解:暴力破解

Evasion逃避:通過修改其他插件生成的HTTP流量來躲避簡單的入侵檢測規則(躲避IDS,IPS檢測).

auth:進行身份認證

在kali2.0安裝w3af(自帶版本執行掃描時一直是掛死狀態)

1,root@kali:~# cd  #切換到主目錄,官方指定在主目錄下安裝
2,root@kali:~# apt-get update #更新
#推薦官方源:
deb http://http.kali.org/kali kali-rolling main non-free contrib

deb-src http://http.kali.org/kali kali-rolling main non-free contrib

3,root@kali:~# apt-get install python-pip -y #安裝python-pip

4,pip install --upgrade pip #將pip升級到最新版

5,#下載w3af源碼,耗時較長,unzip解壓縮
git clone https://github.com/andresriancho/w3af.git 

6,cd  w3af-master #進入其目錄

7, ./w3af_console # 啓動w3af命令行界面,發現還需要一些依賴包未安裝,
    首先安裝npm    
    apt-get install npm(使用腳本安裝的時候需要此軟件)

8,切換/tmp目錄下,運行w3af_dependency_install.sh
apt-get build-dep python-lxml   #需要先安裝此軟件,系統未提示安裝,但不安裝便會報錯

cd /tmp

./w3af_dependency_install.sh(通過shell腳本一併安裝所需的安裝包)

安裝出現successful的時候證明其命令行界面安裝成功

cd /root/w3af-master#切換w3af目錄

./w3af_console  #運行這條命令即可使用w3af命令行界面

w3af>>> 


9,cd /root/w3af-master  #切換到w3af目錄

    ./w3af_gui  #運行w3af圖形界面命令,發現也報錯,然後我們

    cd /tmp

    ./w3af_dependency_install.sh(通過shell腳本一併安裝所需的安裝包)這個文件和安裝圖形界面的文件內容不同 

    安裝成功之後,切換/root/w3af-master

    運行w3af圖形界面命令: ./w3af_gui 

如果報錯顯示以下內容:
ImportError: No module named webkit
表示爲安裝webkit模塊,需要去自行下載該模塊(官方源沒有該模塊...)
wget http://ftp.cn.debian.org/debian/pool/main/p/python-support/python-support_1.0.15_all.deb

dpkg -i python-support_1.0.15_all.deb

wget http://ftp.cn.debian.org/debian/pool/main/p/pywebkitgtk/python-webkit_1.1.8-3_amd64.deb

dpkg -i python-webkit_1.1.8-3_amd64.deb

apt install python-gtk2-dev

wget http://ftp.cn.debian.org/debian/pool/main/p/pywebkitgtk/python-webkit-dev_1.1.8-3_all.deb

dpkg -i python-webkit-dev_1.1.8-3_all.deb

安裝過程中可能需要安裝相關依賴，可執行如下命令
apt --fix-broken install

apt-get install python-webkit python-webkit-dev

如果還有其他問題,參考該文章(https://howiezhao.github.io/2017/11/08/kali-w3af-bug/)