ProHoster > Blog > Tsamaiso > Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona
Qetellong sehlooho re buile ka Nemesida WAF Free - sesebelisoa sa mahala sa ho sireletsa liwebsaete le li-API ho tsoa litlhaselong tsa bosholu, 'me ho ena re nkile qeto ea ho hlahloba sehatisi se tsebahalang sa tlokotsi. Elk.

Ho hlahloba webosaete bakeng sa bofokoli ke mohato o hlokahalang, oo, hammoho le tlhahlobo ea khoutu ea mohloli, o o lumellang ho lekola boemo ba ts'ireletso ea ona khahlano le litšokelo tsa ho sekisetsa. U ka hlahloba mohloli oa marang-rang u sebelisa lisebelisoa tse khethehileng.

Nikto, W3af (e ngotsoeng ho Python 2.7, e seng e sa tšehetsoe) kapa Arachni (ha e sa tšehetsoa ho tloha ka February) ke litharollo tse ratoang ka ho fetisisa tse hlahisoang karolong ea mahala. Ha e le hantle, ho na le ba bang, mohlala, Wapiti, eo re ileng ra etsa qeto ea ho tsepamisa maikutlo ho eona.

Wapiti e sebetsa le mefuta e latelang ea bofokoli:

  • katoloso ea faele (ea lehae le e hole, fopen, readfile);
  • liente (ente ea PHP / JSP / ASP / SQL le ente ea XPath);
  • XSS (Cross Site Scripting) (e bonahatsang maikutlo le e phehellang);
  • ho lemoha le ho phethahatsa litaelo (eval (), tsamaiso (), passtru ());
  • Liente tsa CRLF (ho arohana ha karabo ea HTTP, ho lokisa seboka);
  • XXE (Setsi sa kantle sa XML) ho kenya;
  • SSRF (Server Side Request Forgery);
  • tšebeliso ea lifaele tse tsejoang tse ka bang kotsi (ka lebaka la database ea Nikto);
  • litlhophiso tse fokolang tsa .htaccess tse ka fetisoang;
  • boteng ba lifaele tsa bekapo tse senolang tlhahisoleseling ea lekunutu (ho senoloa ha khoutu ea mohloli);
  • Shellshock;
  • litsela tse bulehileng;
  • mekhoa e sa tloaelehang ea HTTP e ka rarolloang (PUT).

Likarolo:

  • Tšehetso ea proxy ea HTTP, HTTPS le SOCKS5;
  • netefatso ho sebelisa mekhoa e mengata: Basic, Digest, Kerberos kapa NTLM;
  • bokhoni ba ho fokotsa sebaka sa ho lekola (domain, foldara, leqephe, URL);
  • ho tlosoa ka bohona ha e 'ngoe ea li-parameter ho URL;
  • mehato e mengata ea ho itšireletsa khahlanong le li-loops tse sa feleng (mohlala: ifor, ho fokotsa litekanyetso tsa paramente);
  • bokhoni ba ho beha bohlokoa ba ho hlahloba li-URL (le haeba li le sieo sebakeng sa ho hlahloba);
  • bokhoni ba ho qhelela li-URL tse ling ho sekeneng le litlhaselong (mohlala: ho tsoa ha URL);
  • kenya li-cookie (li fumane u sebelisa sesebelisoa sa wapiti-getcookie);
  • bokhoni ba ho kenya tšebetsong / ho tima netefatso ea setifikeiti sa SSL;
  • bokhoni ba ho ntša li-URL ho JavaScript (mofetoleli o bonolo haholo oa JS);
  • tšebelisano le HTML5;
  • dikgetho tse 'maloa bakeng sa ho laola boitšoaro ba bahlaseli le lithibelo;
  • ho beha nako e phahameng ea ts'ebetso ea ho hlahloba;
  • ho eketsa lihlooho tse ling tsa HTTP kapa ho theha Moemeli oa Mosebelisi.

Likarolo tse ling:

  • ho theha litlaleho tsa ts'oaetso ka mekhoa e fapaneng (HTML, XML, JSON, TXT);
  • ho khefutsa le ho qala ho hlahloba kapa ho hlasela (mokhoa oa thuto o sebelisa SQLite3 database);
  • ho bonesa ka morao ho terminal ho totobatsa bofokoli;
  • maemo a fapaneng a ho rema lifate;
  • Mokhoa o potlakileng le o bonolo oa ho kenya / ho tima li-module tsa tlhaselo.

bophirima

Mofuta oa hajoale oa Wapiti o ka kenngoa ka mekhoa ea 2:

  • khoasolla mohloli ho tsoa ho semmuso sebaka mme o tsamaise sengoloa sa ho kenya, o kentse Python3 pele;
  • sebelisa pip3 kenya wapiti3 taelo.

Ka mor'a sena, Wapiti o tla be a loketse ho tsamaea.

Ho sebetsa le sesebelisoa

Ho bontša mosebetsi oa Wapiti, re tla sebelisa sebaka se lokiselitsoeng ka ho khetheha sa ho ema libaka.vulns.pentestit.ru (mohloli o ka hare), o nang le bofokoli bo sa tšoaneng (Injection, XSS, LFI/RFI) le mefokolo e meng ea likopo tsa marang-rang.

Lintlha li fanoe molemong oa tlhahisoleseling feela. Se tlole molao!

Taelo ea mantlha ea ho qala scanner:

# wapiti -u <target> <options>

Ka nako e ts'oanang, ho na le thuso e qaqileng haholo ka palo e kholo ea likhetho tsa ho qala, mohlala:

--sebaka - sebaka sa kopo
Haeba o hlakisa paramethara ya skoupo mmoho le URL ya crawl, o ka lokisa sebaka sa ho kgasa sa saete ka ho hlakisa leqephe le le leng le maqephe ohle a ka fumanwang setsheng.

-s и -x — likhetho tsa ho eketsa kapa ho tlosa li-URL tse itseng. Likhetho tsena li na le thuso ha o hloka ho kenya kapa ho tlosa URL e itseng nakong ea khase.

-- tlola - paramente e boletsoeng e nang le senotlolo sena e tla hlahlojoa, empa e ke ke ea hlaseloa. E na le thuso haeba ho na le li-parameter tse kotsi tse sa kengoang hantle nakong ea ho hlahloba.

--verify-ssl — nolofalletsa kapa o tima netefatso ya setifikeiti.
Sekena sa Wapiti se modular. Leha ho le joalo, ho qala limmojule tse itseng, ho kenyelletsa le tse hokahaneng ka bohona ha sekenari se ntse se sebetsa, o hloka ho sebelisa -m switch mme o thathamise tseo o li hlokang, tse arotsoeng ka lifeeloana. Haeba senotlolo se sa sebelisoe, li-module tsohle li tla sebetsa ka ho sa feleng. Ka phetolelo e bonolo ka ho fetisisa e tla shebahala tjena:

# wapiti -u http://sites.vulns.pentestit.ru/ -m sql,xss,xxe

Mohlala ona oa tšebeliso o bolela hore re tla sebelisa li-module tsa SQL, XSS le XXE feela ha re hlahloba sepheo. Ntle le moo, o ka sefa ts'ebetso ea li-module ho latela mokhoa o lakatsehang. Ka mohlala -m "xss: fumana, blindsql: poso, xxe: poso". Tabeng ena, module xss e tla sebetsa ho likopo tse rometsoeng ho sebelisoa mokhoa oa GET, le mojule blibdsql - ho POST likopo, joalo-joalo. Ka tsela, haeba mojule o mong o neng o kenyelelitsoe lethathamong o ne o sa hlokehe nakong ea skena kapa o nka nako e telele haholo, ka ho tobetsa motsoako oa Ctrl + C o ka tlola ho sebelisa mojule oa hajoale ka ho khetha ntho e lumellanang le menu e sebetsang.

Wapiti e ts'ehetsa ho fetisa likopo ka proxy ho sebelisa senotlolo -p le netefatso sebakeng seo ho shebiloeng ho sona ka parameter -a. U ka boela ua hlakisa mofuta oa netefatso: Motheo, Ho ja, Kerberos и NTLM. Tse peli tsa ho qetela li ka hloka ho kenngoa ha li-module tse eketsehileng. Ntle le moo, o ka kenya lihlooho life kapa life ho likopo (ho kenyeletsoa le tse ling Moemeli oa mosebelisi) le tse ling tse ngata.

Ho sebelisa netefatso u ka sebelisa sesebelisoa wapiti-getcookie. Ka thuso ea eona rea ​​theha di-cookie, eo Wapiti e tla e sebelisa ha e hlahloba. Tlhophiso di-cookie e entsoe ka taelo:

# wapiti-getcookie -u http://sites.vulns.pentestit.ru/login.php -c cookie.json

Ha re ntse re sebetsa ka lipuisano, re araba lipotso ebe re fana ka lintlha tse hlokahalang joalo ka ho kena, password, joalo-joalo.

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Sephetho ke faele ka sebopeho sa JSON. Khetho e 'ngoe ke ho eketsa lintlha tsohle tse hlokahalang ka parameter -d:

# wapiti-getcookie - http://sites.vulns.pentestit.ru/login.php -c cookie.json -d "username=admin&password=admin&enter=submit"

Sephetho se tla tšoana:

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Ha ho nahanoa ka ts'ebetso ea mantlha ea sehatisi, kopo ea ho qetela ea ho leka ts'ebeliso ea webo molemong oa rona e bile:

# wapiti --level 1 -u http://sites.vulns.pentestit.ru/ -f html -o /tmp/vulns.html -m all --color -с cookie.json --scope folder --flush-session -A 'Pentestit Scans' -p http://proxy.office.pentestit.ru:3128

moo har'a li-parameter tse ling:

-f и -o - sebopeho le tsela ea ho boloka tlaleho;

-m - ho hokahanya li-module tsohle ha ho khothalletsoe, hobane e tla ama nako ea teko le boholo ba tlaleho;

--mmala - totobatsa bofokoli bo fumanoeng ho ipapisitse le ho nyatsa ha bona ho latela Wapiti ka boeona;

-c - ho sebelisa faele ka di-cookie, e entsoeng ka tšebeliso wapiti-getcookie;

--sebaka - ho khetha sepheo sa tlhaselo. Ho khetha khetho ba foldara URL e 'ngoe le e 'ngoe e tla khasoa le ho hlaseloa, ho qala ka ea motheo. URL ea motheo e tlameha ho ba le slash pele (ha ho na filename);

--flush-session - e lumella ho hlahlojoa khafetsa, moo liphetho tse fetileng li ke keng tsa eloa hloko;

-A - ea hae Moemeli oa mosebelisi;

-p — aterese ea seva ea moemeli, ha ho hlokahala.

Hanyenyane ka tlaleho

Sephetho sa scanning se hlahisoa ka mokhoa oa tlaleho e qaqileng mabapi le bofokoli bohle bo fumanoeng ka sebopeho sa leqephe la HTML, ka mokhoa o hlakileng le o balehang habonolo. Tlaleho e tla bontša lihlopha le palo ea bofokoli bo fumanoeng, litlhaloso tsa bona, likopo, litaelo tsa sekonopo le malebela a ho li koala. Bakeng sa ho tsamaea habonolo, sehokelo se tla kenyelletsoa mabitsong a sehlopha, ho tobetsa moo u ka eang ho sona:

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Phoso e kholo ea tlaleho ke ho ba sieo ha 'mapa oa ts'ebeliso ea webo joalo ka ha ho le joalo, ntle le moo ho ke keng ha hlaka hore na liaterese le litekanyetso tsohle li hlahlobiloe. Hape ho na le monyetla oa ho ba le maikutlo a fosahetseng. Tabeng ea rona, tlaleho e kenyelletsa "lifaele tsa bekapo" le "lifaele tse ka bang kotsi." Nomoro ea bona ha e tsamaellane le 'nete, kaha ho ne ho se na lifaele tse joalo ho seva:

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Mohlomong li-module tse sa sebetseng hantle li tla lokisoa ha nako e ntse e ea. Tšitiso e 'ngoe ea tlaleho ke ho haella ha mebala ea bofokoli bo fumanoeng (ho ipapisitse le ho nyahama ha bona), kapa bonyane ho li arola ka mekhahlelo. Tsela feela eo re ka utloisisang ka mokhoa o sa tobang bohlokoa ba ts'oaetso e fumanoeng ke ho sebelisa parameter --mmala nakong ea ho skena, ebe bofokoli bo fumanoeng bo tla penta ka mebala e fapaneng:

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Empa tlaleho ka boeona ha e fane ka mebala e joalo.

Likotsi

SQLi

Sekena se ile sa sebetsana le patlisiso ea SQLi hanyane ka hanyane. Ha u batla bofokoli ba SQL maqepheng moo netefatso e sa hlokeng, ha ho mathata a hlahang:

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Ho ne ho sa khonehe ho fumana bofokoli maqepheng a fumanehang feela ka mor'a ho netefatsa, esita le ho sebelisoa ho nepahetseng di-cookie, kaha hangata ka mor'a ho netefatsoa ka katleho, lenaneo la bona le tla "tsoa" le di-cookie e tla fetoha e sa sebetseng. Haeba mosebetsi oa ho tlosa tumello o ne o kenngoa ts'ebetsong e le lengolo le ikemetseng le ikarabellang bakeng sa ts'ebetso ena, joale ho ne ho tla khoneha ho e qhelela ka thōko ka ho feletseng ka -x parameter, 'me kahoo e thibele ho qala. Ho seng joalo, ho ke ke ha khoneha ho kenyelletsa ts'ebetso ea eona. Sena ha se bothata ka module e itseng, empa ka sesebelisoa ka kakaretso, empa ka lebaka la nuance ena, ho ne ho sa khonehe ho lemoha liente tse 'maloa sebakeng se koetsoeng sa mohloli.

XSS

Sekena se sebetsane le mosebetsi o fanoeng hantle mme sa fumana mefokolo eohle e lokisitsoeng:

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

LFI/RFI

Sekena se fumane mefokolo eohle e teng:

Wapiti - ho hlahloba sebaka sa marang-rang bakeng sa bofokoli ka bo sona

Ka kakaretso, ho sa tsotellehe maikutlo a fosahetseng le bofokoli bo haellang, Wapiti, e le sesebelisoa sa mahala, e bontša liphello tse ntle tsa tshebetso. Leha ho le joalo, ho bohlokoa ho hlokomela hore scanner e matla haholo, e tenyetseha ebile e sebetsa ka bongata, 'me ea bohlokoa ka ho fetisisa, ha e lefelloe, kahoo e na le tokelo ea ho sebelisoa ho thusa batsamaisi le bahlahisi ho fumana lintlha tsa motheo mabapi le boemo ba ts'ireletso ea websaete. kopo.

Lula u phetse hantle 'me u sireletsehe!

Source: www.habr.com

Eketsa ka tlhaloso