转载

mth3l3m3nt:Web渗透测试辅助框架

mth3l3m3nt:Web渗透测试辅助框架

OWASP Mth3l3m3nt框架是一款优秀的渗透测试辅助框架,可WEB接口进行数据交互,借助集成的小工具来辅助测试人员进行渗透测试。

集成的模块

Payload兵器库

Shell生成器( 支持的Shell类型: PHP/ASP/JSP/JSPX/CFM)

Payload编码/解码器(现在支持的编码/解码:Base64/Rot13/Hex/ /x前缀的Hex / 0x前缀的Hex)

CURL功能(可以选择的 请求方式 :GET/POST/TRACE/OPTIONS/HEAD)

LFI利用模块(现有的漏洞利用 模块: Koha Lib Lime、WordpressAspose E-book 生成器、Zimbra Collaboration Server)

Webshell控制管理器

WHOIS查询工具

字符串处理工具

代码混淆工具

简单的XSS平台(操作 被害者的 cookie、获取他们浏览的网页内容等等

程序安装指导

它默认使用的是非关系型数据库,你需要把文件都复制进你的web根目录,但是附带的那份MySQL数据库文件dump是可选的。

与此同时,你需要确保下面的文件夹是可写的:

tmp

framework/data

framework/data/site_config.json

incoming/

scripts/

后台登录页面所在路径是:

/cnc

后台管理的用户名:

mth3l3m3nt

后台管理的 密码:

mth3l3m3nt

程序默认使用的是JIG数据库,但你如果想使用其他类型的数据库,可以去后台更改相应的设置。

这里提醒一下大家,那些需要使用MySQL的用户,可以试着导入那份数据库dump,这样还可以多一些测试数据。

有点尴尬的是,由于笔者个人的喜好(估计自身也有点偷懒的原因),程序默认只提供了MySQL的数据库文件dump。

详细的安装过程,请看 这里的视频 。

如果你想把默认数据库换成你想要的数据库类型,那就需要自行创建数据库名,WEB程序本身只会负责将数据填入表中。

此外,程序支持的数据库类型还有:

Mongo DB

MSSQL

PostgreSQL

SQLite

MySQL

除了SQLite数据库外,如果你想使用其他数据库类型,就需要添加相应的PHP数据库扩展,不然WEB程序是不能进行正常连接的。

对于MySQL用户来说,他们肯定是需要大量的测试数据的(特别是payloads)。这时候,咱们就需要将WEB程序的数据库连接设置切换到MySQL,然后导入那份数据库文件dump进行填充。

大家如果有问题或者建议,请看 这里

你也可以往下面网页中的邮件列表发邮件:

https://lists.owasp.org/mailman/listinfo/owasp-mth3l3m3nt-framework-project

笔者已经测试过可用的平台:

Apache

Litespeed

Nginx

Lighttpd

如果你不是在网站根目录下安装程序,那就需要编辑.htaccess文件,对该程序所在的子文件夹启用RewriteBase。

如果你在配置web服务器时出了问题,欢迎来参考我们的 WEB服务器配置手册 。

*参考来源: KB ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文  http://www.freebuf.com/sectool/110983.html
正文到此结束
Loading...