您现在的位置: 华盟网 >> Hack >> 工具介绍 >> 正文

[图文]mth3l3m3nt:Web渗透测试辅助框架

2016/8/11 作者:dawner 来源: 网络收集
导读 OWASP Mth3l3m3nt框架是一款优秀的渗透测试辅助框架,可WEB接口进行数据交互,借助集成的小工具来辅助测试人员进行渗透测试。

  OWASP-mth3l3m3nt-framework.png

  集成的模块

  Payload兵器库

  Shell生成器(支持的Shell类型:PHP/ASP/JSP/JSPX/CFM)

  Payload编码/解码器(现在支持的编码/解码:Base64/Rot13/Hex/ \x前缀的Hex / 0x前缀的Hex)

  CURL功能(可以选择的请求方式:GET/POST/TRACE/OPTIONS/HEAD)

  LFI利用模块(现有的漏洞利用模块:Koha Lib Lime、WordpressAspose E-book 生成器、Zimbra Collaboration Server)

  Webshell控制管理器

  WHOIS查询工具

  字符串处理工具

  代码混淆工具

  简单的XSS平台(操作被害者的cookie、获取他们浏览的网页内容等等)

  程序安装指导

  它默认使用的是非关系型数据库,你需要把文件都复制进你的web根目录,但是附带的那份MySQL数据库文件dump是可选的。

  与此同时,你需要确保下面的文件夹是可写的:

  tmp

  framework/data

  framework/data/site_config.json

  incoming/

  scripts/

  后台登录页面所在路径是:

  /cnc

  后台管理的用户名:

  mth3l3m3nt

  后台管理的密码:

  mth3l3m3nt

  程序默认使用的是JIG数据库,但你如果想使用其他类型的数据库,可以去后台更改相应的设置。

  这里提醒一下大家,那些需要使用MySQL的用户,可以试着导入那份数据库dump,这样还可以多一些测试数据。

  有点尴尬的是,由于笔者个人的喜好(估计自身也有点偷懒的原因),程序默认只提供了MySQL的数据库文件dump。

  详细的安装过程,请看这里的视频

 

 

  果你想把默认数据库换成你想要的数据库类型,那就需要自行创建数据库名,WEB程序本身只会负责将数据填入表中。

  此外,程序支持的数据库类型还有:

  Mongo DB

  MSSQL

  PostgreSQL

  SQLite

  MySQL

  除了SQLite数据库外,如果你想使用其他数据库类型,就需要添加相应的PHP数据库扩展,不然WEB程序是不能进行正常连接的。

  对于MySQL用户来说,他们肯定是需要大量的测试数据的(特别是payloads)。这时候,咱们就需要将WEB程序的数据库连接设置切换到MySQL,然后导入那份数据库文件dump进行填充。

  大家如果有问题或者建议,请看这里

  你也可以往下面网页中的邮件列表发邮件

  https://lists.owasp.org/mailman/listinfo/owasp-mth3l3m3nt-framework-project

  笔者已经测试过可用的平台:

  Apache

  Litespeed

  Nginx

  Lighttpd

  如果你不是在网站根目录下安装程序,那就需要编辑.htaccess文件,对该程序所在的子文件夹启用RewriteBase。

  如果你在配置web服务器时出了问题,欢迎来参考我们的WEB服务器配置手册

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇Hack:

  • 下一篇Hack: 没有了
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴