Kali WebDAV 客户端工具——Cadaver 与 Davtest

1. 工具简介

在 WebDAV 服务器管理和安全测试过程中，Cadaver 和 Davtest 是两款常用的下令行工具。

• Cadaver 是一个 Unix/Linux 下令行 WebDAV 客户端，主要用于长途文件管理，支持文件上传、下载、移动、复制、删除等操作。
  
• Davtest 则是一款 WebDAV 渗透测试工具，可用于检测服务器允许上传的文件类型及其执行权限。
  

下面将详细介绍这两款工具的功能、利用方法以及应用场景。

---

2. Cadaver 利用指南

2.1 Cadaver 主要功能

Cadaver 具备类似于 FTP 客户端的交互式操作方式，支持以下功能：

• 文件管理：上传、下载、移动、复制和删除文件。
  
• 目次操作：创建、删除和浏览长途 WebDAV 目次。
  
• 身份验证：支持手动和自动身份验证（通过 .netrc 文件）。
  
• 代理支持：可通过 HTTP 代理连接 WebDAV 服务器。
  

2.2 Cadaver 下令行选项

选项说明-t, --tolerant允许 cd 或 open 进入未启用 WebDAV 的聚集，用于办理服务器兼容性题目。-r, --rcfile=<file>指定自定义设置文件，而不是默认的 ~/.cadaverrc。-p, --proxy=<host[:port]>通过 HTTP 代理 host[:port] 连接 WebDAV 服务器。-V, --version表现 Cadaver 版本信息。-h, --help表现资助信息。

---

3. .netrc 文件自动登录

.netrc 文件用于存储 WebDAV 服务器的身份验证信息，允许 Cadaver 自动登录。
3.1 .netrc 语法

1. machine <主机名>
2.     login <用户名>
3.     password <密码>

复制代码

• machine <主机名>：指定 WebDAV 服务器的主机名。
  
• login <用户名>：登任命户名。
  
• password <暗码>：登录暗码。
  

3.2 示例设置

1. machine webdav.example.com
2.     login admin
3.     password mysecurepassword

复制代码

此外，.netrc 还支持 default 关键字，用于匹配全部未指定的主机：

1. default
2.     login guest
3.     password guestpass

复制代码

3.3 安全性建议

为防止凭据泄漏，建议修改 .netrc 文件权限：

1. chmod 600 ~/.netrc

复制代码

---

4. 利用 Davtest 进行 WebDAV 渗透测试

Davtest 是一款专门用于 WebDAV 服务器安全测试的工具，主要用于：

• 检测 WebDAV 服务器是否允许上传文件。
  
• 测试不同文件后缀的上传可行性。
  
• 确认服务器对上传文件的执行权限。
  

4.1 Davtest 利用示例

执行以下下令测试 WebDAV 服务器的文件上传本领：

1. davtest -url http://10.10.10.144/webdav -auth yamdoot:Swarg

复制代码

• -url：指定 WebDAV 服务器地址。
  
• -auth：提供用户名和暗码进行身份验证。
  

4.2 测试结果解析

Davtest 将返回服务器允许上传的文件类型及其权限，例如：

1. [+] Testing upload of extension .php: SUCCESS
2. [+] Testing execution of .php file: SUCCESS
3. [+] Testing upload of extension .txt: SUCCESS
4. [-] Testing execution of .txt file: FAILURE

复制代码

• SUCCESS：服务器允许上传该文件类型，而且大概允许执行（如果是可执行脚本）。
  
• FAILURE：服务器阻止上传或克制执行该类型文件。
  

4.3 安全防范

如果服务器允许上传并执行危险文件（如 .php），大概存在安全隐患，建议：

• 禁用 .php, .asp, .jsp 等脚本执行。
  
• 设置 WebDAV 服务器权限，仅允许可名誉户上传文件。
  
• 利用 Web 应用防火墙（WAF）过滤危险哀求。
  

---

5. 总结

• Cadaver 是一款强大的 WebDAV 下令行客户端，实用于日常 WebDAV 服务器管理和文件操作。
  
• Davtest 则是专为安全测试设计的工具，可用于检测服务器对不同文件类型的支持情况，并评估其安全性。
  

在 WebDAV 服务器管理与渗透测试过程中，合理利用 Cadaver 和 Davtest，可以资助管理员高效管理文件，同时确保服务器安全，防止潜在毛病被利用。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告