Delicious Digg Facebook Favorites More Stumbleupon Twitter

WAppEx : L’outil tout-en-un d’exploitation de vulnérabilités de sites web

WAppEx ( Web Application Exploiter) est un nouvelle outil d’exploitation de site Web automatique. Oui oui, automatique.

Le rêve utlime de tout script kiddie est multiplateforme et fonctionnera donc aussi bien sur Windows ou Linux.

L’outil vérifiera automatiquement la présence de plusieurs types de faille dans la cible que vous lui donnerez et une fois une faille détectée, vous proposera plusieurs payloads pour exploiter celles-ci.

Types de vulnérabilités détectables par WAppEx

  • Injection SQL

L’une des vulnérabilités les plus communes et des plus dangereuse puisqu’elle donne libre accès à la base de données du site visé. WAppEx utilise le solide moteur Havij pour détecter et exploiter ces failles.

  • Inclusion de fichiers distants (RFI)

Permet de faire exécuter au serveur cible un fichier hébergé sur un serveur distant que vous contrôlez. WAppEx peut vérifier la présence de cette vulnérabilité et charger des payloads en conséquence.

  • Inclusion de fichiers locaux (LFI)

Permet à l’attaquant d’utiliser des fichiers présents sur le serveur cible afin d’obtenir des données normalement protégées ou d’exécuter des commandes normalement interdites.

  • Exécution de commandes Système

Cette vulnérabilité permet à l’attaquant d’exécuter des commandes sur le serveur cible. WAppEx utilise ce type de faille pour créer un « reverse shell ».

  • Injection de scripts

WAppEx tente d’injecter des scripts sur le serveur afin d’obtenir un accès root sur le serveur ou d’ouvrir un « reverse shell »

  • Divulgation de fichiers locaux

 

Comme son nom l’indique, cette vulnérabilité permet à WAppEx de consulter des fichiers sensible sur le serveur attaqué afin d’en tirer profit.

Outils additionnels

En plus de la recherche et de l’exploitation de ces vulnérabilités, WAppEx propose également quelques outils utils au Pentest :

  • Online Hash Cracker

Utilise les Rainbow Tables présentes sur le net afin de cracker les mots de passe hashés

  • Encoder/Decoder

Un outils d’encodage d’information avec différents types d’algorithmes.

  • Find Login Page

Recherche sur le site cible les pages de login parfois cachées afin de les exploiter.

  • Browser

Un navigateur simplifier qui vous permet de voir le code source du site visé et le contenu des entêtes HTTP

Téléchargement

WAppEx (v1.0) peut être téléchargé ici : http://itsecteam.com/products/web-application-exploiter-wappex/#tabset-tab-2

N’oubliez pas de télécharger le fichier de licence et d’utiliser le « licence name » : ITSecTeam

Miroir (Intrusio) : WAppEx1.0 – EXE

Miroir (Intruio) : Licence WAppEx – 7Z

 

Source: TheHackerNews

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Intrusio

Trop curieux pour ne pas le faire, trop honnête pour ne pas le dire.