deblaze包装说明
通过使用Flex编程模型和ActionScript语言中,Flash Remoting的诞生。 Flash应用程序可以使请求到远程服务器来调用服务器侧的功能,如仰视账户,检索附加数据和图形,并且执行复杂的业务操作。但是,调用远程方法的能力也增加了攻击面由这些应用程序公开。该工具将允许您执行方法枚举和审讯对Flash Remoting的终点。 Deblaze是约的过程中基于Flash的网站,使得大量使用的Flash Remoting的一些安全评估是必要的。我需要的东西给我挖得更深一些到技术和识别安全漏洞的能力。在所有我到目前为止看到的名称是不区分大小写的服务器,使其更容易为暴力破解。很多时候,HTTP POST请求将不被服务器记录,所以穷举也许会被忽视上监视很差系统。
Deblaze提供了以下功能:
- 蛮力服务和方法名
- 方法讯问
- Flex技术指纹
资料来源:https://github.com/SpiderLabs/deblaze
deblaze首页 | 卡利deblaze回购
- 作者:Trustwave控股公司,乔恩·罗斯
- 许可:GPLv3的
包含在deblaze包工具
deblaze.py - 执行对Flash Remoting的端点检测
[email protected]:~# deblaze.py -h
Usage: deblaze [option]
A remote enumeration tool for Flex Servers
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-u URL, --url=URL URL for AMF Gateway
-s SERVICE, --service=SERVICE
Remote service to call
-m METHOD, --method=METHOD
Method to call
-p PARAMS, --params=PARAMS
Parameters to send pipe seperated
'param1|param2|param3'
-f SWF, --fullauto=SWF
URL to SWF - Download SWF, find remoting services,
methods,and parameters
--fuzz Fuzz parameter values
-c CREDS, --creds=CREDS
Username and password for service in u:p format
-b COOKIE, --cookie=COOKIE
Send cookies with request
-A USERAGENT, --user-agent=USERAGENT
User-Agent string to send to the server
-1 BRUTESERVICE, --bruteService=BRUTESERVICE
File to load services for brute forcing (mutually
exclusive to -s)
-2 BRUTEMETHOD, --bruteMethod=BRUTEMETHOD
File to load methods for brute forcing (mutually
exclusive to -m)
-d, --debug Enable pyamf/AMF debugging
-v, --verbose Print http request/response
-r, --report Generate HTML report
-n, --nobanner Do not display banner
-q, --quiet Do not display messagesdeblaze.py用法示例
[email protected]:~# coming soon