WebSploit: An Advanced Pentesting Framework written in Python 2
Công cụ Hacking

WebSploit: Công cụ kiểm thử bảo mật nâng cao viết bằng Python 2

WebSploit là một công cụ kiểm thử bảo mật mã nguồn mở được viết bằng Python 2. WebSploit là một công cụ đa chức năng với những chức năng đỉnh cao sau:

  • Tấn công bằng phương pháp Social Engineering
  • Quét, thu thập các thông tin và phân tích trang Web
  • Tự động khai thác mục tiêu
  • Autopwn: Dùng Metasploit để quét và khai thác các dịch vụ của mục tiêu
  • Quét và thu thập thông tin của mục tiêu với tiện ích WMap trong Metasploit
  • Format infector: đưa Payload độc hại vào trong tệp tin
  • Tìm trang đăng nhập quản trị Web của các trang Web viết bằng PHP (bằng phương pháp đoán mò :V, xem mã nguồn đi)
  • Tìm địa chỉ IP thật của trang web được bảo vệ bằng CloudFlare
  • LFI Bypasser
  • Quét các người dùng Apache (vẫn bằng phương pháp đoán mò :V, xem mã nguồn đi)
  • Quét các thư mục
  • Tấn công MLITM (Man Left In The Middle), tấn công Phishing bằng cách chèn mã độc vào trang Web (XSS)
  • Tấn công bằng phương pháp nghe lén MITM (Man In The Middle): Thằng người ở giữa 🙂
  • Tấn công lỗ hổng ứng dụng Java (Java Applet)
  • Tấn công bằng phương pháp MFOD (Middle Finger Of Doom)
  • Tấn công bằng USB
  • Tấn công từ chối dịch vụ (DoS) bằng Giao thức Phân giải Địa chỉ
    (Address Resolution Protocol – ARP)
  • Web Killer Attack (xem mã nguồn)
  • Tấn công bằng phương pháp Cập nhật Giả mạo (Fake Update Attack)
  • Tấn công bằng Điểm truy cập giả mạo (Fake Access point Attack)
  • Tấn công Bluetooth bằng phương pháp “Ping cho chết” (Bluetooth POD Attack)
  • Làm đơ mạng WiFi bằng phương pháp tấn công Từ chối dịch vụ (DoS)
  • Wifi Jammer
  • Wifi Honeypot: Không chỉ giả mạo điểm truy cập WiFi thật mà còn “cách ly” nó

Cài đặt WebSploit

Trước khi cài đặt WebSploit, hãy đảm bảo bạn đáp ứng đủ các yêu cầu sau:

  • Có một bản phân phối Linux (Arch Linux, Manjaro, Kali Linux, Parrot Security OS, BlackArch…)
  • Đã cài đặt Metasploit Framwork
  • Đã cài đặt Xterm
  • Đã cài đặt Aircrack-ng

Nếu đã cài đặt một bản phân phối Linux rồi thì bạn có thể cài Metasploit, XtermAircrack-ng (mình xem mã nguồn WebSploit thì thấy nó có sử dụng 3 phần mềm trên, thế mà ông tác giả chả viết mô tê mô tả gì cả, làm mình phải tự mò, vô tâm vl :V) theo hướng dẫn sau:

  • Cho người dùng Arch Linux và các bản phân phối của Arch Linux
    sudo pacman -S metasploit aircrack-ng xterm
  • Cho người dùng Debian và các bản phân phối của Debian
    sudo apt install metasploit-framework aircrack-ng xterm

Và sau đó, bạn có thể tải về và dùng WebSploit:
git clone https://github.com/websploit/websploit/
cd websploit
python2 websploit

Còn đối với các bạn dùng Kali Linux hoặc Parrot Security OS thì chỉ cần gõ:
sudo apt install websploit

Sử dụng WebSploit

Dưới đây là chức năng của vài câu lệnh cơ bản trong WebSploit mà mình đang mô tả bằng tiếng Việt:

  • help: Xem tác dụng của các câu lệnh nhưng bằng tiếng Anh
  • show modules: Xem tất cả các module hiện có
  • use: nạp module muốn dùng (ex: use [module name])
  • set: thiết lập giá trị như TARGET (Mục tiêu) cho module đang dùng
    (ex: set TARGET [mục tiêu])
  • run: thực thi module sau khi đã thiết lập đầy đủ giá trị cho module
  • scan: dùng cho các module liên quan tới mạng không dây

Cho ví dụ đơn giản thì mình sẽ tìm trang đăng nhập quản trị viên của trang Web en.Kali.tools bằng module web/pma. Đầu tiên thì chúng ta phải nạp module đó, thiết lập mục tiêu và thực thi module như sau:
(nhìn cái gì mà nhìn ví dụ là các ảnh minh hoạ ngay đầu bài kìa :))

WebSploit được phân phối theo giấy phép GPL 3
Ông tác giả tên là Fardin Allahverdinazhand
Bạn có thể tải WebSploit từ Github hoặc SourceForge
Nguồn ảnh: githacktools

Bài hay nên đọc

MỘT CHIẾC LAPTOP ĐƯỢC BÁN ĐẤU GIÁ VỚI GIÁ 1,2 TRIỆU ĐÔ

Tấn công DoS và DDoS là gì và cách phòng chống

Trang thương mại điện tử Emart để lộ thông tin hơn 15000 người dùng

5 Distro Linux dành cho người mới bắt đầu

Libssh phát hành bản cập nhật vá 9 lỗ hổng an ninh mới

Hits: 959