W3af原理、架构及使用2012级信息安全信一班陈剑2015.3.31W3af简介W3AF是一个web应用安全的攻击、审计平台,通过增加插件来对功能进行扩展。这是一款用python写的工具,可以查看所有源代码。支持GUI,也支持命令行模式。官网:架构主要分3部分1、内核Thecore,whichcoordinatesthewholeprocessandprovideslibrariesforusinginplugins.2、UI(console和GUI)Theuserinterfaces,whichallowtheusertoconfigureandstartscans3、插件Theplugins,whichfindlinksandvulnerabilitiesW3af插件1.漏洞挖掘(crawl)搜寻新的URL、表单和其它注入点(injectionpoints)2.漏洞分析(audit)获取那些由漏洞挖掘插件找到的注入点,为了发现漏洞,漏洞分析插件=会向所有可注入点发送特别设计的数据。W3af插件3.漏洞攻击(attack)利用分析插件发现的漏洞。它们通常会得到一个远程服务器的shell,或者一个利用SQL注入漏洞获取的远程数据库表。1/20/2020W3af的使用1/20/2020首先配置crawl和audit插件,再设置目标URL,然后等待漏洞出现在界面。一般情况下配置①Crawl(爬虫):web_spider②Audit(分析插件):Enableall③Grep(漏洞匹配):Enableall•crawl:web_spider•audit:Enableall•grep:Enableall配置命令helpviewsetback1/20/2020GUI使用1/20/2020GUI主界面,w3af除可以进行各种渗透,还能充当代理、编码解码。插件配置①Crawl(爬虫):web_spider(google_spider也是一种选择,不过过多的选择会让时间非常长)②Audit(分析插件):sqli、xss、os_commanding③Grep(漏洞匹配):Enableall1/20/2020目标URL配置并启动1/20/2020启动后Log页面只查看漏洞信息查看漏洞信息1/20/2020Exploit(利用漏洞)1/20/2020点击漏洞,w3af会自动匹配利用工具,如图SQL漏洞利用Multipleexploit(多形式利用)1/20/2020多种漏洞利用同时进行Exploit完成1/20/2020漏洞不一定利用成功,就像这样W3af文件存储功能将exploit结果存成文件,可导入导出,让攻击可持续化,如右图“youth”文件1/20/2020w3af1/20/2020