什么是Fuzzer?
Fuzzer简称:漏洞检查工具,是由安全专家用来提供无效的和意想不到的数据到程序的输入的工具。典型的Fuzzer测试缓冲区溢出,无效格式字符串,目录遍历攻击,命令执行漏洞,SQL注入,XSS等应用程序。
由于Metasploit Framework为许多网络协议和数据操作的安全专业人员提供了一套非常完整的库,因此它是快速开发简单Fuzzer的好选择。
Metasploit的Rex图书馆
Rex :: Text模块提供了许多方便的方法来处理文本,如:
- 缓冲区转换
- 编码(html,url等)
- 检查校验
- 随机字符串生成
最后一点对编写简单的“漏洞检查工具”非常有帮助。这将帮助您编写诸如简单“网址漏洞检查工具”或"全网络漏洞检查工具"之类的漏洞检查工具。
有关Rex的更多信息,请参阅Rex API文档:
https://www.rubydoc.info/github/rapid7/metasploit-framework/Rex/Text
以下是您可以在Rex :: Text中找到的一些功能:
root@kali:~# grep "def self.rand" /usr/share/metasploit-framework/lib/rex/text.rb
def self.rand_char(bad, chars = AllChars)
def self.rand_base(len, bad, *foo)
def self.rand_text(len, bad='', chars = AllChars)
def self.rand_text_alpha(len, bad='')
def self.rand_text_alpha_lower(len, bad='')
def self.rand_text_alpha_upper(len, bad='')
def self.rand_text_alphanumeric(len, bad='')
def self.rand_text_numeric(len, bad='')
def self.rand_text_english(len, bad='')
def self.rand_text_highascii(len, bad='')
def self.randomize_space(str)
def self.rand_hostname
def self.rand_state()
