可供ctf线下赛使用,也可用于实际场景来抓web流量、分析攻击手段。
目前主要功能如下:
-
完整http报文请求抓取,同时进行对可能存在的攻击进行分类,通过文件存储模拟出数据库,适应各种场合。
-
根据hash判断流量是否重复,只记录次数和最新一次的请求包,减少存储空间的占用以及流量分析的成本。
-
4个waf等级,推荐使用1等级,不会影响应用的正常运行,还可以抵御绝大多数的常见攻击。
-
设置flag获取命令,通过分析页面返回判断是否被读取了flag,从而替换掉flag(有些场合可能无法使用),将此流量标记为危险流量,同时攻击者ip加入黑名单,永 久ban掉(可从黑名单去除)。
-
黑白名单模式,可以手动添加,选择白名单模式,则服务正常通过给白名单机器,其他机器全部拦截。
-
可根据ip、时间筛选出想要查看的对应日志。
-
通过分析是否为危险流量,统计相同流量出现次数,显示出最可能是最终payload的流量排行。
-
一键生成ctf线下赛exp(获取flag+自动提交flag),快人一步进行攻击(除了正常攻击流量外,exp中还包含大量垃圾混淆流量)
-
删除并压缩备份选中的流量。
-
因流量转发太过不公平,不考虑添加。
cd /var/www/html/ (or other web dir)
git clone https://github.com/wupco/weblogger.git
chmod -R 777 weblogger/
open http://xxxxx/weblogger/install.php in Web browser
install it
更详细说明和帮助: https://gist.github.com/wupco/ee26f88656fbf36d014f49b4ac47ddc8
weblogger 分为静态文件群和动态文件群:
动态文件群:
- 所有流量数据与脚本模板均存储在tmp目录下,所以要保证tmp目录的持续可写。
静态文件群:
- web管理页面存在web目录下的一个新建文件中,所以要保证web目录的可写(待install.php生成管理文件结束后可设置目录不可写)