w3af代码分析，w3af线程池实现,w3af 调适环境配置，w3af win7开发环境

w3af介绍

w3af是一个Web应用程序攻击和检查框架.该项目已超过130个插件,其中包括检查网站爬虫,SQL注入(SQL Injection),跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等.该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展.

开发环境：

windows 7

w3af的window安装版

visual studio 2015 community + PTVS插件(python tools for visual studio)

环境配置：

因为w3af要求必须是python2.6, w3af的windows安装版安装好以后，目录里面已经包含了python2.6，直接把这个设置为VS2015的python interpreter即可，这里提醒下最好使用安装版里面的python2.6，因为里面还有一些依赖包已经装好了。配置VS2015的python interpreter可以参考这个链接：https://github.com/Microsoft/PTVS/wiki/Selecting-and-Installing-Python-Interpreters

在新建python工程之前，先将w3af安装目录下面的w3af/w3af_console添加.py后缀，因为在调适的时候就是从这个文件启动的。然后新建一个python工程，将w3af_console.py所在目录作为工程根目录。

在“解决方案资源管理器”那里右键w3af_console.py，选择”start with debugging”，如果可以跟踪那么就可以开发了。

正式开始

w3af的控制台命令是如何初始化的这里就不详细介绍了，感兴趣的可以参考这里。这里我们直接从在控制台输入“start”命令启动扫描后开始。代码会来到这里

w3afCore.py：

def start(self):'''The user interfaces call this method to start the whole scanningprocess.This method raises almost every possible exception, so please do yourerror handling!'''try:self._realStart()

然后进入到self._realStart()的这里

for url in cf.cf.getData('targets'):try:##    GET the initial target URLs in order to save them#    in a list and use them as our bootstrap URLs#response = self.uriOpener.GET(url, useCache=True)self._fuzzableRequestList += filter(get_curr_scope_pages, createFuzzableRequests(response))

url就是在命令行配置的target，这里取出之后调用self.uriOpener.GET函数获取httpresponse
有了httpresponse就可以调用discovery插件了

self._fuzzableRequestList = self._discover_and_bruteforce()

这里为什么要先获取一个httpresponse再调用discovery插件呢？因为target只是一个起始点，它里面可能还包括更多的link，所以需要把这个httpresponse作为discovery的输入。

接下来的调用关系是这样的

self._discover_and_bruteforce调用self._discover()调用self._discoverWorker()，就到了这里

try:# Perform the actual workpluginResult = plugin.discover_wrapper( fr )

plugin.discover_wrapper()是discovery插件类的基类basePlugin的函数，它会调用自己的self.discover()，这个函数作者在注释里说明必须被所有的discovery插件类重写，所以真正调用的是你配置的discovery插件类的self.discover(），这里我配置的是webSpider，这里讲下webSpider的self.discover(）里面的两个代码块，把它们搞清楚对于理解后面的audit有帮助。
webSpider.py的self.discover(）：
第一个代码块：

response = self._sendMutant( fuzzableRequest, analyze=False )

第二个代码块是：

targs = (ref, fuzzableRequest, originalURL, possibly_broken)
self._tm.startFunction( target=self._verify_reference, args=targs, \
ownerObj=self )

先来讲第一个

self._sendMutant()的函数体如下所示，它的主要作用有两个，一个是发送httprequest，通过调用UrlOpenerProxy类的对应方法实现，这里self.urlOpener就是UrlOpenerProxy类的一个实例。另一个作用是决定是否调用一个回调函数，由self._sendMutant()的analyze参数决定，这里送入的是False，所以不会调用。sqli插件调用的时候没送analyze，所以就使用默认值True，后面会讲到是True的话如何处理。

def _sendMutant(self, mutant, analyze=True, grepResult=True,analyze_callback=None, useCache=True):'''Sends a mutant to the remote web server.'''###   IMPORTANT NOTE: If you touch something here, the whole framework may stop working!##url = mutant.getURI()data = mutant.getData()# Also add the cookie header; this is needed by the mutantCookieheaders = mutant.getHeaders()cookie = mutant.getCookie()if cookie:headers['Cookie'] = str(cookie)args = ( url, )method = mutant.getMethod()functor = getattr( self._urlOpener , method )# run functor , run !   ( forest gump flash )res = functor(*args, data=data, headers=headers,grepResult=grepResult, useCache=useCache)if analyze:if analyze_callback:# The user specified a custom callback for analyzing the sendMutant resultanalyze_callback(mutant, res)else:# Calling the default callbackself._analyzeResult(mutant, res)return res

第二个是w3af的核心-线程池实现方式

self._tm其实是threadManagerObj，它位于baseplugin.py，是框架中最基础的一个成员，在程序刚开始的时候已经被import进来。从名字能看出来，threadManagerObj是一个threadManager的实例，定义在threadManager.py的最下面。所以在程序刚开始的时候，管理所有线程的threadManager类的实例已经初始化好了。

下面来看看调用self._tm.startFunction(）后发生了：

class threadManager:

startFunction():self.initPool():self._threadPool = ThreadPool(5,15)

可以看到是初始化了一个线程池对象self._threadPool，初始化过程是(其实是在ThreadPoolImplementation)

class ThreadPool()

self.requestsQueue = Queue.Queue()self.resultsQueue = Queue.Queue()self.workers = []self.workRequests = {}self.createWorkers(num_workers)

self.createWorkers()就是初始化num_workers个具体干活的线程，也就是WorkerThread类的实例。WorkerThread类的init函数已经调用了线程的start函数，所以线程这时就开始运行了，run函数就是线程干活的过程：从self.requestsQueue队列里面取出一个，如果队列里面没有元素，那么线程就阻塞在一个while循环里，如果有元素，那么调用送入的回调函数，也就是WorkThread的run函数的这行

self.resultQueue.put( (request, request.callable(*request.args, **request.kwds)) )

这行代码首先是调用回调函数request.callable()，callable来自WorkRequest类的callable参数，最开始是来自threadManager的startFucntion函数的target参数。然后再将结果连同request作为一个元组放入resultQueue里面。
那么WorkerThread的self.requestQueue队列的元素是从哪里来的呢？就是在self._tm.startFunction()里面，看下它的函数体，位于threadManager.py。

threadManager.py：

 def startFunction(self, target, args=(), kwds={}, restrict=True, ownerObj=None):if not self._initialized:self._initPool()self._initialized = Trueif not self._maxThreads and restrict:# Just start the functionif not self.informed:om.out.debug('Threading is disabled.' )self.informed = Truetarget(*args, **kwds)else:# Assign a job to a thread in the thread poolwr = WorkRequest( target, args=args, kwds=kwds, ownerObj=ownerObj )self._threadPool.putRequest( wr )msg = '[thread manager] Successfully added function to threadpool. Work queue size: 'msg += str(self._threadPool.requestsQueue.qsize())om.out.debug( msg )

可以看到在第14行初始化了wr实例，这就是self.requestQueue里面的元素，后面就被put进去了。

你肯定有点乱了，回顾下先：

basePlugin.py有一个管理线程池的对象threadManagerobj，被命名为tm，tm有一个线程池self._threadpool，线程池有两个队列requestQueue和resultQueue，分别用来记录待处理的request和处理后的结果。在第一次调用tm的startFunction()函数后，线程池里面的线程启动工作(run函数开始运行)，如果requestQueue是空那么进入while循环等待处理。在每次调用tm的startFunction的时候也会给requestQueue压入一个待处理元素。里面有元素，线程就会拿到并处理。

需要说明的是，threadPool类采用了设计模式中的singleton模式，也就是说整个程序运行实例中只有这一个线程池。这一个线程池可以被discovery、audit插件调用，具体是怎么实现，请参考它和threadPoolImplementaion类的关系。至于为什么要使用singleton模式，作者在注释里是这样说的“If two ThreadPools are created, the whole threading system is crazy…”。总之，singleton模式类似把threadPool实例设置成了一个全局变量。

最后再来说一说处理结果是如何保存的，也就是resultQueue是如何处理的？

根据对代码的分析来看，只是将其中有异常报错的元素取出并raise出来，其他就没什么用了。我分析了两个插件，分别是webSpider，用来discovery的，还有一个是sqli，是分析sql注入的。它们在调用完startfunction后都会接着调用self._tm.join( self )，最终会调用到ThreadPoolImplementation的Poll函数，这个poll函数本来就是分析结果的，从代码注释也可以看出，但是从传参来看request.callback是none，第33行的回调函数不会执行，剩下的逻辑就是取出resultQueue的元素，分析它如果有异常就raise，然后从内存del掉，否则再放回resultQueue。我搜索了整个工程，除了threadPool.py没有别的地方使用resultQueue了。

def poll(self, block=False, ownerObj=None, joinAll=False):"""Process any new results in the queue."""while 1:try:# still results pending?if not joinAll:owned_work_reqs_len = \len([wr for wr in self.workRequests.values() \if id(wr.ownerObj) == id(ownerObj)])else:owned_work_reqs_len = len(self.workRequests)if not owned_work_reqs_len:raise NoResultsPendingif DEBUG:msg = 'The object calling poll("%s") still owns %s work' \' requests.' % (ownerObj, owned_work_reqs_len)om.out.debug(msg)# Are there still workers to process remaining requests?elif block and not self.workers:raise NoWorkersAvailable# Get back a new result from the queue where the workers put# their result.request, result = self.resultsQueue.get(block=block, timeout=1)if id(request.ownerObj) == id(ownerObj) or joinAll:try:# and hand them to the callback, if anyif request.callback:request.callback(request, result)# Probably a sys.exc_info tuple of the form # (type, value, traceback) if type(result) is tuple and len(result) == 3:exc_type, exc_val, tb = resultif type(exc_type) == types.TypeType and \issubclass(exc_type, Exception):# Raise here and handle it in the main threadraise exc_type, exc_val, tbfinally:del self.workRequests[request.requestID]else:self.resultsQueue.put((request, result))except Queue.Empty:if DEBUG:msg = 'The results Queue is empty, breaking.'om.out.debug( msg )break

对于webSpider和来说，它的结果在WorderThread处理的时候就被保存到了self._fuzzableRequests里面，具体参看webSpider.py的_verify_reference()函数。

对于sqli来说，它的WorkerThread的处理函数是basePlugin.py的_sendMutant()函数，在最后面会调用self._analyzeResult(mutant, res)，这个就是它的分析结果的函数，在sqli.py里面被重写，可以看到结果被以vuln类型被保存到了knowledgebase里面。

def _analyzeResult( self, mutant, response ):'''Analyze results of the _sendMutant method.'''##   Only one thread at the time can enter here. This is because I want to report each#   vulnerability only once, and by only adding the "if self._hasNoBug" statement, that#   could not be done.#with self._plugin_lock:##   I will only report the vulnerability once.#if self._hasNoBug( 'sqli' , 'sqli' , mutant.getURL() , mutant.getVar() ):sql_error_list = self._findsql_error( response )for sql_regex, sql_error_string, dbms_type in sql_error_list:if not sql_regex.search( mutant.getOriginalResponseBody() ):# Create the vuln,v = vuln.vuln( mutant )v.setPluginName(self.getName())v.setId( response.id )v.setName( 'SQL injection vulnerability' )v.setSeverity(severity.HIGH)v.addToHighlight( sql_error_string )v['error'] = sql_error_stringv['db'] = dbms_typev.setDesc( 'SQL injection in a '+ v['db'] +' was found at: ' + mutant.foundAt() )kb.kb.append( self, 'sqli', v )break

总结

不管是discovery插件还是audit插件，它们都调用threadManager的startFucntion函数来启动线程池工作，线程的处理函数由startFunction的target参数指定，然后调用threadManager的poll函数取出线程的处理结果。目前来看，处理结果并没有处理，仍然放回了threadpool的resultQueue里面，只是将其中出现的异常raise出来。对于webSpider和sqli插件来说，处理结果在执行函数中已经保存了。目前就看到了这里，其他的细节还有待研究。

如果想和我愉快的玩耍，请关注公众号致新（zhixin991），或者扫描二维码
这里写图片描述

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

通俗地理解什么是编程语言
学习编程语言之前，首先要搞清楚“编程语言”这个概念。很小的时候，父母就教我们开口说话，也教我们如何理解别人讲话的意思。经过长时间的熏陶和自我学习，我们竟然在不知不觉中学会了说话，同时也能听懂其他小朋友说话的意思了，我们开始向父母要零花钱买零食和玩具、被欺负…...
2024/4/28 12:54:39
【转】脱壳工具
脱壳工具http://www.pediy.com/tools/unpacker.htm文件类型侦测工具peid 0.94现在软件越来越多的加壳了，给破解带来非常大的不便，用这个软件可以检测出常见的各种壳，非常方便。2005/10/5　　插件Add Signature 1.03 FileInfo v3.01rFileInfo_v4.01经分析，FI是各类查壳工具中…...
2024/4/28 8:20:42
w3m试用小记
今天没事装上了zhcon(中文控制台)和w3m(支持亚洲字符集的文本网页浏览器).在Fedora10的时候zhcon+w3m是不能看到图片的,这次在Fedora11下居然可以正常观看,真是出乎意料.不知是Fedora更新的缘故,zhcon和w3m都是好几年没有更新了.不过让人头疼的是w3m对某些网站的form表单支持不…...
2024/4/28 21:15:59
Go语言无孔不入的2016：跻身主流编程语言、国内大热、极速提升、尖端应用……
2015，Go迎来了全迸发的一年。时隔一年，回头再看，Go已跻身主流编程语言行列。在国内，Go的热度更是不凡。2016，对于Go来说，又是怎样的一年？前言Go语言已经7岁了！今年8月，Go 1.7如期发布。撰写本稿时，Go 1.8的测试版也出来了。我们正在热切盼望着明年2月的Go 1.8正式版。…...
2024/4/28 5:24:17
脱壳脚本-for DragonArmor(0.0.4.1)[-]
前言练习DragonArmor(0.0.4.1)[-]脱壳, 只要连续F8就可以到OEP. 这个壳有个特点, [0046B000]中第1次写的是OEP的RVA, 第2次写的是OEP的VA. 脱壳脚本的思路: 对0046B000下硬件写入断点, 对写入次数计数, 第2次时, 取[0046B000]的OEP值, 取消所有断点, 对OEP下硬件执行断点, go, …...
2024/4/21 11:20:21
DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtm
1. <!DOCTYPE> 声明位于文档中的最前面的位置，处于 <html> 标签之前。 2. 此标签可告知浏览器文档使用哪种 HTML 或 XHTML 规范。所以，楼主的这个声明： <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" http://www.w3.org/TR/xht…...
2024/4/21 11:20:19
各种编程语言的适用范围
各种编程语言的适用范围自Fortran语言诞生至今，各种计算机编程语言总和超过1500种，但今天还流行的并不多。大部分人在初学编程时都会问：”我该学什么语言？”。语言没有明显优劣，只有适合还是不适合，擅长与否，有的语言就是要比其他语言更适合某个领域。本文旨在梳理 TIOB…...
2024/4/27 4:06:04
【逆向】【UPX】【ODdump】硬件断点后内存转储程序无法运行成功解决及脱壳步骤
目录问题如下：解决：总结：问题如下：脱壳的时候我下了硬件断点：在PUSHAD的下一步查看ESP，OD的左下角goto到esp指向的地址，然后右键下硬件断点。这样再运行很容易就直接定位到了POPAD，看起来都挺顺利的，很容易找到了OEP的位置。但是内存转储出来的exe打开无效果不运行，在…...
2024/4/21 11:20:17
JAVA操作XML的完整例子——W3C DOM篇
这是一个用JAVA W3C DOM 进行XML操作的例子，包含了查询、增加、修改、删除、保存的基本操作。较完整的描述了一个XML的整个操作流程。适合刚入门JAVA XML操作的朋友参考和学习。假设有XML文件：test1.xml<?xml version="1.0" encoding="UTF-8"?>…...
2024/4/20 17:09:57
脱壳-cerber3
前言拿到一个Demo, 用PEID0.95查壳，没查到, 也侦测不出用啥语言写的. 用IDA载入Demo, 看主函数的流程预览就是一长条. 看Demo中的函数，除了内存相关的WinApi, 再没有其他有点用的Api。推测程序被加了壳. 因为不知道这壳的名字，暂且命名为cerber3壳.脱壳知识点记录脱壳…...
2024/4/20 17:09:56
豆瓣上9分以上的IT书籍-编程语言篇
我当要学习某些技术时，第一时间就是去找相关的书籍。而豆瓣读书是我主要的参考依据，主要是它的评分基本比较靠谱，对于技术书籍，一般来说评分在8分以上就是不错的书籍了，而达到9分就可以列入”必读”系列了，所以我就打算总结一下豆瓣上评分9以上的技术书籍，本想一片文章完…...
2024/4/20 17:09:54
IIS中查看W3WP.exe进程对应的应用程序池的方法
先在Windows任务管理器中点击查看--选择列--选择PID(进程标识符)，这样在进程中就会显示进程ID号。 IIS6中查看w3wp进程：对于IIS6可以运行 iisapp -a来显示应用程序池的性能列表. iisapp.vbs它是一个脚本程序,在安装2003时需要SP1才有 IIS7中查看w3wp进程：在IIS中可以用iis…...
2024/4/20 17:09:53
30岁开始学编程，学什么语言比较好？
以下是2018年最大的开发者调查/总结的编程语言。想必对你选择编程语言会有很大的参考价值!1. JavaScript它是干什么用的？虽然JavaScript起源于一种网络脚本语言，但今天它通过Node-RED用于从node.js后端服务器到物联网设备的所有内容。也就是说，大多数要求JavaScript的工作都…...
2024/4/20 17:09:53
Themida和Winlicense加壳软件脱壳教程
（一）Themida和不用license的Winlicense加壳软件就不说了，直接上脚本脱壳。（二）先看看不同版本OEP的一些小特征： Temida2.1.X.X版本之后的OEP特征（2.0.8.0,2.1.0.10,2.1.3.32等）Temida2.1版本之前的OEP特征，如（2.0.3.0，1.8.2.0，1.885等）：Temida OEP特征:如（2.0.3…...
2024/4/20 17:09:52
为什么我说Rust是靠谱的编程语言
为什么我说Rust是靠谱的编程语言作者：Liigo（庄晓立）时间：2015年5月16日原创链接：http://blog.csdn.net/liigo/article/details/45757123版权声明：未经作者许可不得转载；授权转载需注明出处。2016年2月22日修补说明：本文最初发表至今已逾半年，这期间Rust语言蓬勃发展，…...
2024/4/20 17:09:51
检测网页是否通过W3C标准的校验
免费在线检测你的网页中是否存在死链接、所链接网站的状态，以及链接的打开速度。同时检查层叠样式表(CSS)文档和HTML或者XHTML文档中的CSS内容是否可以通过W3C标准的校验，检测HTML、XHTML、SVG或MathML等格式Web页面文档是否符合W3C标准。这就是W3C提供权威的免费在线验证工具…...
2024/4/20 10:27:10
【转】关于脱壳。。
关于脱壳 asprotect版本多，升级快，每一次小小的升级，都足以使以前的脱壳方法或工具失效，没有一种自动脱壳工具是万能的。这里是caspr的作者SAC/UG2000对asprotect的评价： ASProtect是一个非常强大的win32保护工具。它拥有压缩（compression）、加密（encryption）、反跟踪…...
2024/4/20 17:09:49
2020年什么编程语言最受欢迎，待遇最高？
比较编程语言是一件非常复杂的事，因此我们创作了很多好玩的图片或段子用来表达对各种编程语言的定义，本文就以下图开始吧：编程语言是人类控制电脑的手段，所以绝大多数编程语言都试图使这个过程更加强大和简单。也正因此这个领域诞生了数百种编程语言，不过其中许多编程语言…...
2024/4/20 17:09:47
W3C盒模型和IE盒模型的区别
盒模型在初学css的时候就会接触到，其实很容易理解，这里也不多废话，但是实际上在布局的时候还是会出现很多问题。对于盒模型的认识不能只停留在知道一个盒模型由哪些部分构成，也要更多的了解如何在不同情况下利用盒模型的特点进行布局。这里讨论一下两种不同的盒模型： W3…...
2024/4/20 17:09:46
利用ESP定律进行脱壳 ——合天网安实验室学习笔记
实验链接通过本实验理解ESP原理的操作机理，并掌握使用ESP原理进行脱壳的流程。链接：http://www.hetianlab.com/expc.do?ce=ec372be3-7a24-4309-838d-92dc0e83869b 实验简介实验所属系列： CTF竞赛实验对象：本科/专科信息安全专业相关课程及专业： Windows编程，C语言…...
2024/4/20 17:09:45

w3af代码分析，w3af线程池实现,w3af 调适环境配置，w3af win7开发环境

w3af介绍

开发环境：

环境配置：

正式开始

总结

相关文章

最新文章