如何使用pwnSpoof针对Web服务器场景生成伪造日志文件

2021-12-27 16:38:13 浏览数 (1)

关于pwnSpoof

pwnSpoof是一款功能强大的日志生成工具,该工具可以帮助广大研究人员在各种类型的可定制攻击场景中,针对常见的Web服务器生成伪造日志文件。

pwnSpoof所生成的每一个日志集合都是唯一的,而且完全可自定义设置,非常适合针对CTF场景或安全培训进行伪造日志生成。

pwnSpoof是由Punk Security开发的一款工具套件,可以为用户提供威胁搜寻训练培训的相关基础设施。其中,本文所指的“安全培训练习(演练)”是使用类似Splunk的日志分析工具以及IIS日志来寻找暴力破解攻击和命令注入攻击面。

工具特性

pwnSpoof的主要目标如下:

· 帮助用户以简单快速的方式搭建CTF风格训练环境;

· 每次运行都能生成独一无二的日志;

· 支持在IIS、Apache和Nginx日志中测试威胁搜寻技术。

当我们创建好一套日志集合后,我们就可以将其加载进类似Splunk的日志分析工具,并使用各种技术来回答下列问题:

攻击者IP地址是多少?User_Agent是什么? 攻击者通过了身份验证吗?如果通过了,TA使用的是什么账号? 攻击者所在的地理位置是哪? 攻击者做了什么? 攻击者执行了哪种类型的攻击? 整个攻击过程中发生了什么? 攻击者在服务器中还植入了什么? 如何才能缓解此次安全威胁?

工具要求

pwnSpoof基于Python开发,并且支持Python 3环境。工具仅使用了标准库,无需其他额外模块。

如果你收到了下列错误信息,请在运行pwnSpoof时指定使用Python 3环境运行,工具不支持Python 2环境:

代码语言:javascript复制
File "pwnspoof.py", line 176

    print("{:6.2f}% ".format(y * x), end="r", flush=True)

                                        ^

SyntaxError: invalid syntax

工具安装

使用下列命令将该项目源码克隆至本地:

代码语言:javascript复制
git clone https://github.com/punk-security/pwnspoof

将当前工作目录切换至pwnSpoof:

代码语言:javascript复制
cd pwnspoof

运行pwnSpoof:

代码语言:javascript复制
python pwnspoof.py --help

工具使用

参数选项

工具使用样例

下列使用样例将创建一套针对pwnedbank.co.uk的暴力破解攻击IIS日志:

代码语言:javascript复制
python pwnspoof.py banking --server-fqdn pwnedbank.co.uk --attack-type bruteforce --server-type IIS --out iis-output.log

下列使用样例将创建一套针对pwnedbank.co.uk的命令注入攻击Nginx日志:

代码语言:javascript复制
python pwnspoof.py banking --server-fqdn pwnedbank.co.uk --attack-type command_injection --server-type NGINX

下列使用样例将创建一套包含5000条实例会话和3条攻击会话的日志:

代码语言:javascript复制
python pwnspoof.py banking --session-count 5000 --spoofed-attacks 3

下列使用样例将创建一套日志记录,并输出攻击者的IP地址:

代码语言:javascript复制
python pwnspoof.py banking --spoofed-attacks 3 --iocs

项目地址

https://github.com/punk-security/pwnspoof

0 人点赞