W3af kali linux установка

Installation¶

Prerequisites¶

Make sure you have the following software ready before starting the installation:

• Git client: sudo apt-get install git
• Python 2.7, which is installed by default in most systems
• Pip version 1.1: sudo apt-get install python-pip

Installation¶

Let me explain what’s going on there:

• First we use git to download w3af ’s source code
• Then we try to run the w3af_console command, which will most likely fail because of missing dependencies. This command will generate a helper script at /tmp/w3af_dependency_install.sh that when run will install all the required dependencies.
• Dependencies are installed by running /tmp/w3af_dependency_install.sh

The framework dependencies don’t change too often, but don’t be alarmed if after updating your installation w3af requires you to install new dependencies.

Supported platforms¶

The framework should work on all Python supported platforms and has been tested in various Linux distributions, Mac OSX, FreeBSD and OpenBSD.

The platform used for development is Ubuntu 14.04 and running our continuous integration tests is Ubuntu 12.04 LTS.

While in theory you can install w3af in Microsoft Windows, we don’t recommend nor support that installation process.

One of the ugly details users can find is that w3af needs to detect the Operating System / Linux distribution, and then have support for creating the /tmp/w3af_dependency_install.sh for that specific combination. In other words, for Ubuntu we use apt-get install and for Suse we use yum install .

The list of distributions w3af knows how to generate the installation script for is extensive . If we don’t support your distribution, we’ll default to Ubuntu.

Installation in Kali¶

The easiest way to install w3af in Kali is:

This will install the latest packaged version, which might not be the latest available from our repositories. If the latest version is needed these steps are recommended:

This will install the latest w3af at

/w3af/w3af_console and leave the packaged version un-touched.

There are two versions in your OS now:

cd

/w3af/ ; ./w3af_console will run the latest version

w3af_console will run the one packaged in Kali

Installing using Docker¶

Docker is awesome, it allows users to run w3af without installing any of it’s dependencies. The only pre-requisite is to install docker , which is widely supported.

Once the docker installation is running these steps will yield a running w3af console:

For advanced usage of w3af ’s docker container please read the documentation at the docker registry hub

Installation in Mac OSX¶

In order to start the process, you need XCode and MacPorts installed.

Those commands should allow you to run ./w3af_console again without any issues, in order to run the GUI a new dependency set is required:

Troubleshooting¶

After running the helper script w3af still says I have missing python dependencies, what should I do?В¶

You will recognize this when this message appears: “Your python installation needs the following modules to run w3af”.

First you’ll want to check that all the dependencies are installed. To do that just follow these steps:

Replace futures with the library that is missing in your system. If the pip freeze | grep futures command returns an empty result, you’ll need to install the dependency using the /tmp/w3af_dependency_install.sh command. Pay special attention to the output of that command, if installation fails you won’t be able to run w3af .

It is important to notice that w3af requires specific versions of the third-party libraries. The specific versions required at /tmp/w3af_dependency_install.sh need to match the ones you see in the output of pip freeze . If the versions don’t match you can always install a specific version using pip install —upgrade futures==2.1.5 .

w3af still says I have missing operating system dependencies, what should I do?В¶

You will recognize this when this message appears: “please install the following operating system packages”.

Most likely you’re using a Linux distribution that w3af doesn’t know how to detect. This doesn’t mean that w3af won’t work with your distribution! It just means that our helper tool doesn’t know how to create the /tmp/w3af_dependency_install.sh script for you.

What you need to do is:

• Find a match between the Ubuntu package name given in the list and the one

for your distribution * Install it * Run ./w3af_console again. Repeat until fixed

Please create a ticket explaining the packages you installed, your distribution, etc. and we’ll add the code necessary for others to be able to install w3af without going through any manual steps.

How do I ask for support on installation issues?В¶

You can create a ticket containing the following information:

• Your linux distribution (usually the contents of /etc/lsb-release will be enough)
• The contents of the /tmp/w3af_dependency_install.sh file
• The output of pip freeze
• The output of python —version

© Copyright 2014, Andres Riancho Revision cd22e525 .

Источник

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

w3af (w3af_console)

Описание w3af (w3af_console)

w3af – это фреймворк атаки и аудита веб-приложений, его целью является идентификация и эксплуатирование всех уязвимостей веб-приложений. Этот пакет снабжён графическим интерфейсом (GUI) для фреймворка. Если вам нужно только приложение командной строки, то установите w3af-console. Этот фреймворк назывался «metasploit для web», но в действительности теперь он намного больше чем это, поскольку он также находит уязвимости веб-приложений, используя техники сканирования по принципу чёрного языка! Ядро w3af и его плагины полностью написаны на Python. Проект имеет более чем 130 плагинов, которые идентифицируют и эксплуатируют SQL-инъекции, межсайтовый скриптинг (XSS), инклуд удалённых файлов и много другое.

Автор: Andres Riancho и команда w3af

Справка по w3af (w3af_console)

Руководство по w3af (w3af_console)

Страница man отсутствует.

Для того чтобы посмотреть список всех опций напишем:

Информация по всем плагинам w3af

Статус — означает включён для использования или нет.

Настр — означает настраиваемый или нет.

Чтобы узнать подробности по каждому плагину используйте команду desc следующим образом:

w3af/plugins>>> имя_группы desc имя_плагина

Для настройки плагинов, которые это поддерживают, используйте config следующим образом:

w3af/plugins>>> имя_группы config имя_плагина

Если плагин настраиваемый, то для него доступна команда set для изменения значений параметров и команда view для просмотра существующих значений.

Плагины искажения

Плагины инфраструктуры

Установка w3af (w3af_console)

Программа предустановлена в Kali Linux.

Информация об установке в другие операционные системы будет добавлена позже.

Источник

excalibur44 / install-w3af.sh

#! /bin/bash

apt -y install git python-pip

git clone https://github.com/andresriancho/w3af.git —depth 1

chmod +x w3af/w3af_ *

# installation for w3af_console

apt -y install libssl1.0-dev graphviz python-lxml

apt -y build-dep python-lxml

sed -i » s/’pyOpenSSL’, ‘0.15.1’/’pyOpenSSL’, ‘16.2.0’/g » w3af/w3af/core/controllers/dependency_check/requirements.py

pip install pyClamd==0.3.15 PyGithub==1.21.0 GitPython==2.1.3 pybloomfiltermmap==0.3.14 esmre==0.3.1 phply==0.9.1 nltk==3.0.1 chardet==2.1.1 tblib==0.2.0 pdfminer==20140328 futures==2.1.5 ndg-httpsclient==0.3.3 lxml==3.4.4 scapy-real==2.2.0-dev guess-language==0.2 cluster==1.1.1b3 msgpack-python==0.4.4 python-ntlm==1.0.1 halberd==0.2.4 darts.util.lru==0.5 Jinja2==2.7.3 vulndb==0.0.19 markdown==2.6.1 psutil==2.2.1 mitmproxy==0.13 ruamel.ordereddict==0.4.8 Flask==0.10.1 tldextract==1.7.2 pyOpenSSL==16.2.0

# installation for w3af_gui

pip install xdot==0.6

apt -y install python-gtk2-dev python-gtksourceview2 libwebkitgtk-1.0-0

wget http://ftp.cn.debian.org/debian/pool/main/p/python-support/python-support_1.0.15_all.deb

wget http://ftp.cn.debian.org/debian/pool/main/p/pywebkitgtk/python-webkit_1.1.8-3_amd64.deb

wget http://ftp.cn.debian.org/debian/pool/main/p/pywebkitgtk/python-webkit-dev_1.1.8-3_all.deb

dpkg -i python-support_1.0.15_all.deb

dpkg -i python-webkit_1.1.8-3_amd64.deb

dpkg -i python-webkit-dev_1.1.8-3_all.deb

rm * .deb

This comment has been minimized.

Copy link Quote reply

killmasta93 commented Mar 22, 2021

hi there, i tried installing the script on kali linux but getting this error

You can’t perform that action at this time.

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session.

Источник

Работа с W3af в Kali Linux

Перевод прислал Entest, спасибо ему, что поделился с нами этим материалом!

Введение

W3af (Web Application Attack and Audit Framework) — это open-source сканер веб-уязвимостей.

Этот сканер имеет как графический интерфейс, так и возможность работы из-под консоли. В общем, это фреймворк с большим количеством различных плагинов.

В данной статье будет описано как осуществить проверку веб-приложения на уязвимости XSS, CSRF и Sqli работая в w3af из под консоли.

Как пользоваться W3af

Для запуска W3af в консольном виде надо открыть терминал и напечатать:

Для того чтобы посмотреть список всех опций напишем:

Прежде всего надо сказать как настроить w3af для работы.

Для выбора опции достаточно напечатать ее название, для того чтобы вернуться к предыдущему уровню следует напечатать «back».

Если напечатать команду «view» то на экран будет выведен список настраиваемых параметров выбранной опции.

Теперь рассмотрим опцию «target». В ней задается URL для проводимой проверки.

Для данной опции доступны следующие параметры:

Установим URL для проверки:

Для дальнейшей работы необходимо настроить плагины.

Для аудита веб-приложения нам потребуется настроить как минимум четыре плагина. Audit, crawl, infrastructure и output.

Если мы напечатаем audit, то увидим все доступные настройки для этого плагина, такие как xss, csrf, sql и ldap инъекции и т.д. Кроме этого там также указано какие из настроек в данный момент включены.

Для включения определенных настроек следует напечатать:

Для выбора всех настроек:

Нам как раз и нужно проверить веб-приложение на эти уязвимости. Кроме того мы хотим чтобы результат проверки отображался в консоли и был сохранен в виде html.

Для этого включим необходимые плагины crawl и output.

Немного информации об используемых плагинах:

Web_spider — Плагин представляет из себя классического web-паука. Он бродит по сайту и извлекает все ссылки и адреса форм.

Pykto — Плагин представляет из себя сканнер nikto, портированный на python. Он использует базу данных из nikto (scan_database) для поиска уязвимых ссылок.

Hmap — Плагин опознаёт удалённый веб-сервер, его тип, версию и установленные исправления.

Идентификация происходит не только через заголовок «Server». По сути плагин представляет из себя обёртку для hmap Dustin`a Lee.

Console — Этот плагин пишет отчёт о работе фреймворка в консоль.

Html_file — Плагин пишет отчёт о работе фреймворка в HTML-файл.

Для начала аудита выполняем следующие команды:

Сканер работает довольно долго, так что придется запастись терпением. В итоге получим примерно такой отчет:

И результат, сохраненный в results.html:

3 thoughts to “Работа с W3af в Kali Linux”

Подскажите запускаю gui w3af через 30 секунд теста прога тупо виснет и не реагирует не на что.Использую в Kali.В чем может быть проблема?

Была похожая проблема с wpscan’om. Попробуйте переустановить w3af, вдруг поможет:
apt-get install —reinstall w3af

При запуске выдавало ошибку, промучался с ней несколько часов, но понял в чем проблема.

«`
It seems that your Python installation does not have all the modules required by the w3af framework. For more information about how to install and debug dependency issues please browse to http://docs.w3af.org/en/latest/install.html
Traceback (most recent call last):
File «/usr/bin/w3af», line 151, in
_main()
File «/usr/bin/w3af», line 147, in _main
sys.exit(main())
File «/usr/bin/w3af», line 142, in main
return console.sh()
File «/usr/share/w3af/w3af/core/ui/console/console_ui.py», line 145, in sh
self._context = rootMenu(name, self, self._w3af)
File «/usr/share/w3af/w3af/core/ui/console/rootMenu.py», line 70, in __init__
‘kb’: kbMenu
File «/usr/share/w3af/w3af/core/ui/console/util.py», line 26, in mapDict
fun(p, dct[p])
File «/usr/share/w3af/w3af/core/ui/console/menu.py», line 110, in addChild
name, self._console, self._w3af, self, *params)
File «/usr/share/w3af/w3af/core/ui/console/exploit.py», line 47, in __init__
plugin = self._w3af.plugins.get_plugin_inst(‘attack’, plugin_name)
File «/usr/share/w3af/w3af/core/controllers/core_helpers/plugins.py», line 247, in get_plugin_inst
plugin_inst = factory(‘w3af.plugins.%s.%s’ % (plugin_type, plugin_name))
File «/usr/share/w3af/w3af/core/controllers/misc/factory.py», line 62, in factory
__import__(module_name)
File «/usr/share/w3af/w3af/plugins/attack/sqlmap.py», line 37, in
from w3af.plugins.attack.db.sqlmap_wrapper import Target, SQLMapWrapper
File «/usr/share/w3af/w3af/plugins/attack/db/sqlmap_wrapper.py», line 33, in
from w3af.core.controllers.daemons.proxy import Proxy
File «/usr/share/w3af/w3af/core/controllers/daemons/proxy/__init__.py», line 1, in
from .handler import ProxyHandler
File «/usr/share/w3af/w3af/core/controllers/daemons/proxy/handler.py», line 25, in
from netlib.odict import ODictCaseless
ImportError: No module named odict

«`
Проблема заключалась в новой версии mitmproxy

После установки
`pip install mitmproxy==0.17
`
все стало хорошо и ошибка пропала

Источник