Projects STRLCPY yawf Files
🤬
Enable build support by adding .buildspec.yml
core Loading last commit info...
data
utils
.gitignore
Dockerfile
LICENSE
README.md
requirements.txt
yawf.conf.sample
yawf.py
yawf_bulk.py
README.md

Yawf - Yet Another Web Fuzzer

Yawf 是一个开源的 Web 漏洞自动化检测工具,能够帮助发现一些常见 Web 漏洞,包括:XSS、SQL injection、XXE、SSRF、Directory traversal、Log4Shell 和 JSONP 敏感信息泄露等。

功能

  1. 支持检测动态 URL 和 HTTP Request 文件目标对象;
  2. 支持手动和自动标记测试点,标记范围覆盖查询字符串、Cookie 和 POST Body;
  3. 支持 GET 和 POST 请求,以及 form、json 和 xml 数据类型;
  4. 支持 HTTP Basic/Digest/NTLM 认证;
  5. 支持对测试目标进行并行(多进程)检测;
  6. 容易扩展,探针和 Payload 文件分离;
  7. 支持检测目标对象前是否部署 WAF,以及是哪种 WAF;
  8. 支持设置 HTTP 网络代理;
  9. 支持 dnslog.cn 和 ceye.io 两种带外服务;
  10. 高度可配置化,简单配置实现定制需求;
  11. 支持批量检测。

探针

  1. xss - 跨站脚本探针
  2. sqli - SQL 注入探针
  3. dt - 目录遍历探针
  4. fastjson - Fastjson 探针(探测目标是否使用 Fastjson 组件)
  5. log4shell - Log4Shell 探针
  6. xxe - XXE 探针
  7. ssrf - SSRF 探针
  8. jsonp - JSONP 探针(内置,无需配置)

性能优化

假设一次测试活动共有10个测试点,使用全部6个探针。

  1. 并行检测测试点,一个测试点对应一个请求对象,充分利用多核 CPU 提高检测效率;
  2. 在执行探针前,提前获取已选择探针载荷内容,后续检测每个测试点时直接获取,文件 IO 从 60 次减少到 6 次;
  3. 读取一次配置文件后,将配置数据写入内存,后续使用直接从内存中读取,文件 IO 从 9 次减少到 1 次;
  4. 一次测试活动只获取一次 dnslog domain,通过随机字符串子域名加以区分每个探针使用的 payload,网络请求从 10 次减少到 1 次;
  5. 查询字符串和 POST Body 中 json 多值标记只执行一次 fastjson 探针,避免不必要的重复测试,减少网络请求;
  6. 根据测试目标运行平台操作系统,选择性的使用特定该操作系统的 payload,减少无效网络请求;
  7. 根据内容类型,有选择的执行或跳过某个探针。如:当内容类型为 xml 且测试点在 post body 中时,只执行 xxe 探针,跳过其它探针;只有当查询字符串中包含 json 或 post body 为 json 类型且测试点在 post body 中时,才执行 fastjson 探针等;
  8. 通过配置检测和忽略的 HTTP 参数名称,跳过某些参数检测和只针对特定参数执行某类探针,减少大量网络请求(其中大多数为无效请求),最大程度的加快测试进程。

安装

需使用 Python 3 运行。

由于 Yawf 在检测 XSS 漏洞时,使用了 headless Chrome,所以需预先安装 Chrome 环境。 首先,安装驱动程序 ChromeDriver,并将可执行文件放置在 PATH 目录下;其次,安装 Chrome 可执行程序。在 Windows 和 Mac 平台上运行,如果已安装 Chrome 应用,则无需安装;在 Linux 平台上运行,需安装 google-chrome 可执行程序,并将其放置在 PATH 目录下。 如果执行 Yawf 时,报浏览器相关错误,请重点检查 ChromeDriver 和 Chrome 是否正确放置在 PATH 目录下。

$ git clone https://github.com/phplaber/yawf.git
$ cd yawf
$ cp yawf.conf.sample yawf.conf
$ pip3 install -r requirements.txt
$ python3 yawf.py -h

_____.___.  _____  __      _____________
\__  |   | /  _  \/  \    /  \_   _____/
 /   |   |/  /_\  \   \/\/   /|    __)  
 \____   /    |    \        / |     \   
 / ______\____|__  /\__/\  /  \___  /   
 \/              \/      \/       \/    

Automated Web Vulnerability Fuzzer      
v2.7                               
Created by yns0ng (@phplaber)           

Usage: yawf.py [options]

Options:
  -h, --help            show this help message and exit
  -u URL, --url=URL     Target URL (e.g.
                        "http://www.target.com/page.php?id=1")
  -m METHOD             HTTP method, default: GET (e.g. POST)
  -d DATA               Data string to be sent through POST (e.g. "id=1")
  -c COOKIES            HTTP Cookie header value (e.g. "PHPSESSID=a8d127e..")
  --headers=HEADERS     Extra headers (e.g. "Accept-Language: fr\nETag: 123")
  --auth-type=AUTH_TYPE
                        HTTP authentication type (Basic, Digest, NTLM)
  --auth-cred=AUTH_CRED
                        HTTP authentication credentials (user:pass)
  -f REQUESTFILE        Load HTTP request from a file
  --output-dir=OUTPUT_DIR
                        Custom output directory path
  --probe-list          List of available probes
  --dnslog-provider=DNSLOG_PROVIDER
                        Dnslog service provider, default: dnslog (e.g. ceye)

使用

配置

拷贝配置样例文件 yawf.conf.sample,并重命名为 yawf.conf。根据自身需求,修改 yawf.conf 配置文件中配置项,如:网络代理、scheme 和探针等。

  • proxy 项中配置网络代理服务器,如:127.0.0.1:8080,在调试 payload 的时候很有用;

  • scheme 需和 -f 选项配合使用,默认是 https;

  • timeout 项中配置请求超时时间,支持小数,单位为秒,默认是 30 秒;

  • user_agent 项中配置自定义 UA,若留空,则使用默认 UA;

  • customize 项中配置自定义探针,多个探针需使用英文逗号分隔,探针名称见上述列表。如果 customize 项为空,则使用 default 项中配置的探针。如果 default 项也为空,最终兜底的为 xss 探针;

  • id 项中配置 ceye.io 平台分配的 Identifier;在 token 项中配置 ceye.io 平台分配的 API Token。在登录 ceye.io 平台后,在 Profile 页面可以看到这两项的内容;

  • platform 项中配置测试目标运行平台操作系统,默认是 Linux。在遇到特定平台的 payload 时,Yawf 会依据该配置进行针对性的测试,减少无效网络请求;

  • enable_waf_detecter 项中配置执行漏洞检测前是否开启 WAF 检测,默认是 on,表示开启。Yawf 支持检测的 WAF 有:阿里云盾、云加速、安全狗、加速乐和 CloudFlare,检测代码主要从 WhatWaf 项目移植而来,做了略微修改。需要检测其它 WAF,可以参考使用 WhatWaf。一旦 Yawf 检测到 WAF,将中断执行。

data 目录下的 ignore_params.txtdt_and_ssrf_detect_params.txt 分别为自动标记忽略的参数和 dt、ssrf 探针检测参数,可按需修改。sens_info_keywords.txt 为敏感信息关键词,用于检测 JSONP 敏感信息泄露漏洞。

标记

Yawf 支持手动和自动标记测试点,支持查询字符串、Cookie 和 POST Body 处标记。

当需要测试某个单独的输入点时,仅需在参数值后手动标记 [fuzz],Yawf 就只会对该位置进行检测。注意,手动标记需保留原始参数。在真正进行 PoC 测试时,Yawf 会根据探针类型灵活的选择是否保留原始参数。

http://test.sqlilab.local/Less-1/?id=3[fuzz]

也可以手动标记 HTTP Request 文件中的输入点,该文件内容可以通过 Live HTTP Headers 或 Burp Suite 获取到。

GET /Less-1/?id=3[fuzz] HTTP/1.1
Host: test.sqlilab.local
User-Agent: Yawf v2.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Upgrade-Insecure-Requests: 1

如果想要尽可能全面的检测输入点,则不要手动标记,Yawf 会智能的在所有满足条件的地方自动标记。

支持标记的位置如下:

  1. 查询字符串
    • ?par1=val1&par2=val2[fuzz],常规查询字符串数据格式
    • ?par1={"foo":"bar[fuzz]"},参数值为 json 编码数据格式,支持对 json 中的各值(不包含对象和数组)标记
    • ?par1={"foo":"bar[fuzz]"}&par2=val2[fuzz],组合形式
  2. Cookie
    • k1=v1[fuzz]; k2=v2[fuzz],常规键值对数据格式
  3. POST Body
    • par1=val1&par2=val2[fuzz],常规 form 编码数据格式
    • {"par1":"val1","par2":"val2[fuzz]"},json 编码数据格式,支持对 json 中的各值(不包含对象和数组)标记
    • <par1>val1[fuzz]</par1>,xml 编码数据格式

同时需注意,在自动标记模式下,参数是否被标记还受 ignore_params.txt 影响。

运行脚本

设置必要的参数,运行 yawf.py 脚本,等待脚本运行结束。一旦 Yawf 发现疑似漏洞,如果选项 --output-dir 传入目录路径,则将详情写入该目录下按时间戳命名的文件里,否则,写入和脚本同级的 output 目录下文件,文件同样按时间戳命名。如果目录不存在,Yawf 会安全的创建。

详情包括标记过的 request 对象、payload、触发漏洞的 request 对象以及漏洞类型。

运行批量检测脚本

在使用浏览器爬虫工具(如:rad、crawlergo 等)爬取了一批完整请求对象并生成特定 json 文件后,运行 yawf_bulk.py 脚本进行批量检测。json 文件格式如下:

[
   {
      "Method":"POST",
      "URL":"http://testphp.vulnweb.com/search.php",
      "Header":{
         "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
         "Content-Type":"application/x-www-form-urlencoded",
         "Cookie":"login=test%2Ftest",
         "Origin":"http://testphp.vulnweb.com",
         "Referer":"http://testphp.vulnweb.com/",
         "Upgrade-Insecure-Requests":"1",
         "User-Agent":"Rad v0.4 crawler"
      },
      "b64_body":"Z29CdXR0b249Z28mc2VhcmNoRm9yPTE="
   },
   {
      "Method":"GET",
      "URL":"http://testphp.vulnweb.com/artists.php?artist=1",
      "Header":{
         "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
         "Upgrade-Insecure-Requests":"1",
         "User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36"
      }
   },
   {
      "Method":"GET",
      "URL":"http://testphp.vulnweb.com/listproducts.php?artist=1",
      "Header":{
         "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
         "Upgrade-Insecure-Requests":"1",
         "User-Agent":"Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36"
      }
   }
]

使用 -f 选项传入 json 文件路径,就可以批量检测漏洞了。批量检测不支持手动标记。

bulk

Docker 安装和运行

除了以上安装和运行方式,也支持 Docker 方式安装和运行 Yawf。使用 Docker 的方式,更加便捷,可快速搭建起运行 Yawf 的环境,包括:ChromeDriver, google-chrome, Python3 以及依赖模块。

$ git clone https://github.com/phplaber/yawf.git
$ cd yawf
$ cp yawf.conf.sample yawf.conf
$ docker build --no-cache -t yawf_env .
$ docker run -it --rm -v ~/Sec/scan/:/data yawf_env yawf.py -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --output-dir=/data

至此,Yawf 的使用就结束了。后续就是人工介入,确认漏洞是否存在、等级,然后进入漏洞处置流程。

声明

此工具仅用于企业安全人员评估自身企业资产的安全风险,或有合法授权的安全测试,请勿用于其他用途,如有,后果自负。

Please wait...
Page is in error, reload to recover