6.6 Fimap
Fimap是一款Python工具,用于自动查找、准备、审计、利用和用谷歌搜索Web应用中的本地和远程文件包含(LFI和RFI)Bug。
Fimap可以在Web Applications > Web Vulnerability Scanners > Fimap 中找到。在你打开Fimap时,它会打开一个终端窗口,显示主屏幕。Fimap有一些插件选项,你可以通过如下命令下载安装:
fimap --install –plugins
所有可用插件都会显示到一个列表中,并会显示一个选项来选择安装或是退出。在下面的例子中,有两个可供安装的插件。你需要运行两次安装命令来分别安装各个插件:
要使用Fimap,首先你需要通过指定URL来确定你的目标。指定URL时它会有多种选项,你可以指定一个URL,或是用谷歌来获取一系列URL,或是从其他URL中提取URL等方法。它如何处理表单和首部也会有多种选项。在下面的例子中,我们会指向www.thesecurityblogger.com 。
要扫描thesecurityblogger.com网站,输入如下命令:
fimap -u 'http://wwwthesecurityblogger.com'
Fimap会试图找出所有的文件包含漏洞。下面的例子显示的是我们的目标上没有发现可用于文件包含攻击的漏洞: