close

關於CRLFsuite

CRLFsuite是一款功能強大的CRLF注入掃描工具,在該工具的幫助下,廣大研究人員可以輕鬆掃描和識別目標應用程序中的CRLF注入漏洞。

關於CRLF

回車換行(CRLF)注入攻擊是一種當用戶將CRLF字符插入到應用中而觸發漏洞的攻擊技巧。CRLF字符(%0d%0a)在許多互聯網協議中表示行的結束,包括HTML,該字符解碼後即為\ r\ n。這些字符可以被用來表示換行符,並且當該字符與HTTP協議請求和響應的頭部一起聯用時就有可能會出現各種各樣的漏洞,包括http請求走私(HTTP RequestSmuggling)和http響應拆分(HTTP Response Splitting)。

功能介紹

掃描單個URL

掃描多個URL

Web應用防火牆檢測

通過CRLF注入實現XSS

支持STDIN

支持GET&POST方法

支持並發

提供強大的Payload(包括WAF繞過)

掃描效率高,誤報率低

工具下載

該工具基於Python 3開發,因此我們首先需要在本地設備上安裝並配置好Python 3環境。接下來,廣大研究人員可以直接使用下列命令將該項目源碼克隆至本地,並運行安裝腳本完成CRLFsuite的安裝部署:

$ git clone https://github.com/Nefcore/CRLFsuite.git$ cd CRLFsuite$ sudo python3 setup.py install$ crlfsuite -h

工具參數

參數選項

描述

-u/--url

目標URL地址

-i/--import-urls

從文件導入目標列表

-s/--stdin

從STDIN掃描URL

-o/--output

輸出文件存儲路徑

-m/--method

請求方法(GET/POST)

-d/--data

POST請求數據

-uA/--user-agent

指定User-Agent

-To/--timeout

連接超時

-c/--cookies

指定Cookie

-v/--verify

驗證SSL證書

-t/--threads

並發線程數量

-sB/--skip-banner

跳過Banner

-sP/--show-payloads

顯示所有可用的CRLFPayload

工具使用

掃描單個URL地址:

$ crlfsuite -u "http://testphp.vulnweb.com"

掃描多個URL地址:

$ crlfsuite -i targets.txt

從STDIN掃描目標:

$ subfinder -d google.com -silent | httpx -silent | crlfsuite -s

指定Cookie:

$ crlfsuite -u "http://testphp.vulnweb.com" --cookies "key=val; newkey=newval"

使用POST方法:

$ crlfsuite -i targets.txt -m POST -d "key=val&newkey=newval"

工具運行截圖

許可證協議

本項目的開發與發布遵循MIT開源許可證協議。

項目地址

https://github.com/Nefcore/CRLFsuite



精彩推薦





arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()