Wfuzz 全面使用指南:Web 应用模糊测试工具详解
Wfuzz 是一款功能强大的开源 Web 应用模糊测试(Fuzzing)工具,主要用于自动化发现 Web 应用中的隐藏资源、注入漏洞、目录遍历等问题。它由 Python 编写,支持多种 payload(有效载荷)注入方式,能够对 HTTP 请求的各个部分进行暴力破解或模糊测试,包括 URL 路径、GET/POST 参数、Cookie、HTTP 头、认证信息等。Wfuzz 的设计理念是模块化和可扩展性强,适合渗透测试人员、安全研究员和开发人员用于 Web 安全评估。
Wfuzz 的核心机制是通过在目标 URL 或请求中用特殊的占位符(如 FUZZ、FUZ2Z 等)标记需要模糊测试的位置,然后用指定的 payload 列表逐一替换这些占位符,发送 HTTP 请求,并根据响应(如状态码、响应长度、内容关键字等)来过滤和展示结果。这使得它在发现隐藏目录、备份文件、参数注入点等方面非常高效。
Wfuzz 的主要特点
Wfuzz 的优势在于其灵活性和扩展性,主要特点包括:
- 多位置模糊测试:支持对 URL 路径、查询参数、POST 数据、Cookie、自定义 Header、HTTP 方法(Verb)等进行 fuzzing。
- 丰富的 Payload 支持:内置多种 payload 类型,如文件词典、数字范围、列表等,还支持自定义和外部工具生成。
- 强大的过滤和输出控制:根据响应码、响应行数、单词数、字符数、内容匹配等进行过滤,支持隐藏或高亮特定结果。
- 迭代器和编码器:支持多个 payload 的组合(笛卡尔积、zip 等),以及多种编码方式(MD5、URL 编码等)。
- 递归和性能优化:支持递归 fuzzing 发现的路径,多线程加速,延迟控制等。
- 代理和认证支持:兼容 HTTP/SOCKS 代理,Basic、NTLM 等认证。
- 脚本和插件系统:可扩展脚本用于被动/主动扫描,发现如 robots.txt 中的路径等。
- 输出格式多样:支持 JSON、HTML 等格式保存结果,便于后续分析。
- Python 库模式:可作为库在脚本中调用,实现自动化测试。
- 辅助工具:如 wfpayload(生成 payload)、wfencode(编码/解码)。
Wfuzz 常用于目录爆破、参数 fuzzing、暴力登录、漏洞验证等场景,与 Burp Suite、DirBuster 等工具互补。
安装和入门
Wfuzz 的安装相对简单,通常通过 pip 安装:
pip install wfuzz 它依赖 pycurl 等库,在某些系统(如 MacOS 或 Windows)上可能需要额外处理 SSL 或 pycurl 问题。官方文档提供了针对这些平台的 troubleshooting 指南。
Wfuzz 自带词典目录(wordlist/),包含 common.txt、big.txt 等常用词典。运行后,可通过 wfuzz -h 查看帮助。
此外,支持 Docker 运行:
docker run -v $(pwd)/wordlist:/wordlist/ -it ghcr.io/xmendez/wfuzz wfuzz 这避免了本地安装问题。
入门示例:最简单的目录爆破:
wfuzz -w wordlist/general/common.txt --hc 404 http://example.com/FUZZ 这里 -w 指定词典,--hc 404 隐藏 404 响应(常见于不存在的路径),FUZZ 是 payload 注入点。
输出会显示响应码、行数(lines)、单词数(words)、字符数(chars)等,便于快速识别异常响应(如 200 或 403)。
基本用法详解
Wfuzz 的基本命令格式:
wfuzz [options]<target_url_with_FUZZ>1. Payload 的指定
Payload 通过 -z 或 --zP 指定,常见类型:
list:手动列表,用 - 分隔。
wfuzz -z list,admin-login-backup http://example.com/FUZZ/ range:数字范围。
wfuzz -z range,1-100 http://example.com/page?id=FUZZ file:从文件加载词典。
wfuzz -z file,wordlist/general/common.txt http://example.com/FUZZ 多个 payload 时,使用 FUZZ、FUZ2Z、FUZ3Z 等区分。
2. 模糊测试不同位置
HTTP 方法:用 -X。
wfuzz -z list,GET-POST-PUT-DELETE -X FUZZ http://example.com/resource 自定义 Header:用 -H。
wfuzz -z list,Mozilla-Chrome -H "User-Agent: FUZZ" http://example.com/ Cookie:用 -b。
wfuzz -z file,sessions.txt -b "SESSIONID=FUZZ" http://example.com/admin POST 数据:用 -d 指定 POST body。
wfuzz -z file,passwords.txt -d "username=admin&password=FUZZ" --hc 302 http://example.com/login.php 同时 fuzz 多个字段:
wfuzz -z file,users.txt -z file,passwords.txt -d "uname=FUZZ&pass=FUZ2Z" http://example.com/login GET 参数:
wfuzz -z range,0-100 --hl 200 http://example.com/list.php?cat=FUZZ --hl 高亮特定响应。
路径和文件:
wfuzz -w common.txt http://example.com/FUZZ.php # 爆破 .php 文件3. 代理和认证
认证:
wfuzz --basic user:pass http://example.com/FUZZ wfuzz -z list,user1-user2 --basic FUZZ:password ... 代理:
wfuzz -p 127.0.0.1:8080 http://example.com/FUZZ # HTTP 代理 wfuzz -p 127.0.0.1:1080:SOCKS5 ... # SOCKS4. 递归 fuzzing
发现路径后自动深入:
wfuzz -z list,admin-backup -R 2 http://example.com/FUZZ/ # 递归深度 25. 性能和输出控制
- 线程:
-t 20(默认 10)。 - 延迟:
-s 1(秒)。 - 输出到文件:
-f results.json,json。 - 自定义显示:
--efield url,h显示 URL 和 headers。
列出可用输出格式:wfuzz -e printers。
高级用法
Wfuzz 的高级功能使其从简单爆破工具变为强大框架。
1. 迭代器(Iterators)
结合多个 payload,用 -m 指定模式(默认 product,即笛卡尔积)。
chain:顺序连接。
wfuzz -m chain ... # a,b,c,1,2,3zip:对应位置组合。
wfuzz -m zip -z list,a-b-c -z list,1-2-3 http://example.com/FUZZ/FUZ2Z # a1, b2, c3product:所有组合。
wfuzz -z list,a-b -z list,1-2 http://example.com/FUZZ/FUZ2Z # a1,a2,b1,b22. 编码器(Encoders)
对 payload 进行编码转换,用 -z ... ,encoder 或 --zE。
列出编码器:wfuzz -e encoders(包括 md5、sha1、urlencode、base64、hex 等)。
示例:
wfuzz -z file,wordlist.txt,md5 http://example.com/?hash=FUZZ 多编码链:
wfuzz -z list,test,md5@urlencode 类别编码:hashes(所有哈希)。
3. 过滤器(Filters)
Wfuzz 的过滤语言非常强大,支持表达式过滤响应。
字段包括:c(code)、l(lines)、w(words)、h(chars)、content(内容)等。
语法:
--hc 404# 隐藏 404(简写) --hl 200# 高亮 200 --hs "error"# 隐藏含 "error" 的响应复杂过滤:
wfuzz --filter "c!=404 and l>100 and content~'success'"支持 and/or/not、比较运算符、正则 =~。
预过滤(prefilter):在发送前过滤 payload。
切片(slice):修改 payload,如 --slice "FUZZ.upper()"。
4. 脚本和插件
Wfuzz 支持插件脚本,用于扩展功能,如解析 robots.txt、发现备份文件等。
列出脚本:wfuzz -e scripts。
使用:
wfuzz --script=robots -z file,common.txt http://example.com/FUZZ 脚本类别:passive(被动)、active(主动)、discovery(发现)。
自定义脚本放在 ~/.wfuzz/scripts/。
5. 重用结果和基线请求
用 FUZZ{baseline} 进行基线比较,过滤差异。
重用保存的会话:通过 wfpayload 或 -f 加载。
6. 作为 Python 库使用
from wfuzz import fuzz for r in fuzz(url="http://example.com/FUZZ", hc=[404], payloads=[("file",dict(fn="common.txt"))]):print(r)适合集成到自定义工具中。
实际应用场景和技巧
- 目录和文件发现:结合大词典(如 SecLists)和 --hc 404,快速扫描隐藏路径。
- 参数注入测试:fuzz ID 参数查找 IDOR,或注入 XSS payload。
- 暴力登录:POST fuzz 用户名/密码,过滤登录成功响应(如 --hs “invalid”)。
- API 测试:fuzz JSON POST 数据,结合编码器处理 token。
- 结合外部工具:输出 JSON 后用 jq 处理,或管道到其他工具。
总结
Wfuzz 作为一款经典的 Web fuzzing 工具,以其简单却强大的功能在安全社区中广受欢迎。从基本目录爆破到高级多 payload 组合、编码、过滤和脚本扩展,它提供了完整的 Web 安全测试链条。掌握 Wfuzz 需要实践多场景示例,结合官方词典和自定义 payload,能显著提升渗透测试效率。
本文基于 Wfuzz 官方文档(https://wfuzz.readthedocs.io/en/latest/)撰写,涵盖了从安装到高级功能的绝大部分内容。实际使用中,建议多运行 wfuzz -e <encoders|printers|scripts|iterators> 来探索可用选项。
、
