Docker安裝AWVS
docker search awvs
docker search awvs
pull 拉取下載鏡像
docker pull secfa/docker-awvs
將Docker的3443端口映射到物理機的 13443端口
docker run -it -d -p 13443:3443 secfa/docker-awvs
容器的相關信息
默認的登錄賬號密碼
awvs13 username: admin@admin.com
awvs13 password: Admin123
登錄
安裝XRAY
https://github.com/chaitin/xray/releases/tag/1.7.1
xray使用方法
- 使用基礎爬蟲爬取並對爬蟲爬取的鏈接進行漏洞掃描
xray webscan --basic-crawler http://example.com --html-output vuln.html
- 使用 HTTP 代理進行被動掃描
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html
設置瀏覽器 http 代理為 http://127.0.0.1:7777,就可以自動分析代理流量並掃描。
- 只掃描單個 url,不使用爬蟲
xray webscan --url http://example.com/?a=b --html-output single-url.html
- 手動指定本次運行的插件
默認情況下,將會啟用所有內置插件,可以使用下列命令指定本次掃描啟用的插件。
xray webscan --plugins cmd-injection,sqldet --url http://example.com
xray webscan --plugins cmd-injection,sqldet --listen 127.0.0.1:7777
- 可以指定將本次掃描的漏洞信息輸出到某個文件中:
xray webscan --url http://example.com/?a=b \
--text-output result.txt --json-output result.json --html-output report.html
批量添加模板到Awvs
直接使用大神的腳本,白嫖地址:
https://github.com/test502git/awvs13_batch_py3
修改配置文件awvs_config.ini
api_key為AWVS的key
使用方法:
python3 awvs_add_url-v2.0.py
AWVS+XRAY聯動
- 單個目標
官方參考文檔
https://docs.xray.cool/#/scenario/awvs
xray 開啟監聽 0.0.0.0 允許所有IP源訪問
./xray webscan --listen 0.0.0.0:777 --html-output awvs.html
AWVS 切換到 HTTP 的部分,填寫 xray 的 HTTP 代理
- 多個目標,批量跑
修改腳本awvs_add_url-v2.0.py
xray 開啟監聽
./xray webscan --listen 0.0.0.0:777 --html-output awvs.html
使用awvs_add_url-v2.0.py批量腳本
python3 awvs_add_url-v2.0.py
