deblaze包装说明
通过使用Flex编程模型和ActionScript语言中,Flash Remoting的诞生。 Flash应用程序可以使请求到远程服务器来调用服务器侧的功能,如仰视账户,检索附加数据和图形,并且执行复杂的业务操作。但是,调用远程方法的能力也增加了攻击面由这些应用程序公开。该工具将允许您执行方法枚举和审讯对Flash Remoting的终点。 Deblaze是约的过程中基于Flash的网站,使得大量使用的Flash Remoting的一些安全评估是必要的。我需要的东西给我挖得更深一些到技术和识别安全漏洞的能力。在所有我到目前为止看到的名称是不区分大小写的服务器,使其更容易为暴力破解。很多时候,HTTP POST请求将不被服务器记录,所以穷举也许会被忽视上监视很差系统。 Deblaze提供了以下功能:
- 蛮力服务和方法名
- 方法讯问
- Flex技术指纹 资料来源:https://github.com/SpiderLabs/deblaze
- 作者:Trustwave控股公司,乔恩·罗斯
许可:GPLv3的
0x01 包含在deblaze包工具
deblaze.py - 执行对Flash Remoting的端点检测
:~# deblaze.py -h Usage: deblaze [option] A remote enumeration tool for Flex Servers Options: --version show program's version number and exit -h, --help show this help message and exit -u URL, --url=URL URL for AMF Gateway -s SERVICE, --service=SERVICE Remote service to call -m METHOD, --method=METHOD Method to call -p PARAMS, --params=PARAMS Parameters to send pipe seperated 'param1|param2|param3' -f SWF, --fullauto=SWF URL to SWF - Download SWF, find remoting services, methods,and parameters --fuzz Fuzz parameter values -c CREDS, --creds=CREDS Username and password for service in u:p format -b COOKIE, --cookie=COOKIE Send cookies with request -A USERAGENT, --user-agent=USERAGENT User-Agent string to send to the server -1 BRUTESERVICE, --bruteService=BRUTESERVICE File to load services for brute forcing (mutually exclusive to -s) -2 BRUTEMETHOD, --bruteMethod=BRUTEMETHOD File to load methods for brute forcing (mutually exclusive to -m) -d, --debug Enable pyamf/AMF debugging -v, --verbose Print http request/response -r, --report Generate HTML report -n, --nobanner Do not display banner -q, --quiet Do not display messages0x02 deblaze.py用法示例
:~# coming soon原文来自:https://www.hackfun.org/kali-tools/deblaze_zh.html。转载请注明原出处,商用请联系原作者授权。