Samurai Web 测试框架是一个 Linux Live 环境，预配置为 Web 渗透测试环境。该 CD 包含专注于测试和黑客网站的免费和开源工具。 Samurai 包括此列表中的许多其他工具，例如 WebScarab、ratproxy、w3af、Burp Suite 和 BeEF。

Samurai Web 测试框架主页：

 http://www.samurai-wtf.org/ 

什么是 Samurai Web 测试框架？

随着 live CD 变得越来越流行，专门的发行版开始出现。而Samurai就是这样一种分布。 Samurai 由位于华盛顿特区的信息安全咨询公司 IntelGuardians Network Intelligence Inc 赞助。

Samurai Web 测试框架是一个虚拟机，受 VirtualBox 和 VMWare 支持，预配置为一个 Web 测试环境。在开发此环境时，开发人员选择了安全领域最常用的工具。

Fierce Domain Scanner（Fierce域扫描器）和Maltego等工具用于侦察。 WebScarab 和 ratproxy 等工具用于映射。后来用w3af和burp来探索。最后阶段会用到exploit、BeEF、AJAXShell等。 VM 还包括一个预配置的 wiki，设置为在渗透测试过程中存储中心信息。

Samurai 专注于 Web 应用测试人员寻找常见漏洞所需的工具，例如配置错误、跨站脚本 (XSS)、SQL 注入，包括远程文件和其他常见漏洞漏洞。该 CD 包含许多用于重新排列应用程序和 Web 服务器、列出文件、目录和许多测试脚本的工具。

先看武士

可启动的 Samurai CD 在启动时提供了许多选项。它可以作为 Live CD 运行，也可以将此框架安装为完整的操作系统：

状态屏幕开始得很整齐：

在启动 Samurai 进入登录屏幕时，输入用户名和密码 'samurai' 进行登录。这个信息有点混乱。它出现在 Github Samurai WTF 页面和 Readme.txt 中 仅在您登录发行版时可用：

登录后，很明显 Samurai 是基于 Ubuntu 的，这对于 Live CD 发行版来说有点不寻常：

应用程序

Samurai 附带了一堆有用的应用程序。其中包括许多常见的 Linux 工具，例如：

1. Burp Suite，一种网络应用攻击工具
2. DirBuster，文件和目录列表工具，来自 OWASP 的蛮力工具
3. Fierce Domain Scanner，一个目标枚举实用程序
4. Gooscan，一种用于查找 CGI 漏洞的自动 Google 查询工具，不需要直接扫描目标，而只查询 Google 的缓存
5. Grendel-Scan，一种开源网络应用漏洞测试工具
6. HTTP_Print， 一种检索指纹的工具f 网络服务器
7. Maltego CE， 一个开源应用程序，它通过数据挖掘从 Internet 中查找信息，然后将它们链接在一起（对于基础目标研究很有用）。
8. Nikto， 一种开源网络服务器扫描仪
9. Paros，是 Java 最受欢迎的代理和测试工具之一，基于 Java 平台
10. Rat Proxy，一种被动、半自动化的网络应用安全控制工具。
11. Spike Proxy，一种网络应用分析和漏洞扫描工具。
12. SQLBrute，暴力破解工具和 SQL 注入。
13. w3af（和 GUI），控制和攻击 Web 应用程序的框架。
14. Wapiti，一种网络应用安全控制和漏洞扫描器
15. WebScarab， 来自 OWASP 的 HTTP 应用程序控制工具
16. WebShag，一种网络服务器控制工具
17. ZenMap， NMAP 图形界面

此外，Samurai 还包括几个 GUI 菜单中没有的实用程序，包括：

1. dnswalk，漫游和 DNS 查询工具
2. httping，一个类似 ping 的 HTTP 请求实用程序
3. httrack， 一个网站克隆实用程序。
4. 开膛手约翰，一个密码破解程序
5. netcat，一个多功能的 TCIP/IP 工具
6. nmap，端口扫描器和操作系统检测工具
7. siege，一种 HTTP（压力）负载测试和基准测试工具。
8. snarf，轻量级网址提取器
9. 等等。

当然，所有这些工具都可以轻松安装在 Linux 机器上。但是拥有安装和配置这些工具的 Live CD 也是相当不错的。 Samurai还预装了Wine，非常方便。

安装 Web 测试框架 Samurai 的先决条件

1. 流浪汉
2. 虚拟化软件-用于支持 Virtualbox、VMware 和许多其他类似选项的 Vagrant 基本盒子
3. Vagrant 的 Vagrant-vbguest 插件（仅限 Virtualbox）-该插件将自动安装客户端扩展，支持更高的显示分辨率，以及剪贴板共享等许多其他实用程序。

初始安装

1.确保您具备上面列出的先决条件。

2.复制此存档。

3.从项目目录中的命令行终端运行 vagrant up 命令。然后等待该过程完成。首次启动后，您应该立即使用 vagrant reload 命令重新启动。运行 vagrant up 命令将构建主目标，这是唯一同时拥有用户环境和目标的 VM。为此，您可以运行 vagen up userenv 和 vagrant up target 来构建单独的虚拟机。

注意：在进行配置时，Guest VM 窗口将使用 CLI 打开。最好让vagrant up命令完成。

配置脚本

SamuraiWTF 的主要 Vagrant 配置脚本是 install/userenv_bootstrap.sh 。 install/target_bootstrap.sh 中包含一个独立的目标配置脚本。 SamuraiWTF 的系统、目标、工具设置或初始化的更改都在这些脚本中处理。

一些注意事项

加载VM时，用户名和密码都是：samurai。

可以通过在桌面上右击来获得菜单。

登录时需要提供目标系统。首先，通过启动 Chrome 来加载 Chrome 书签。然后选择三点菜单，然后点击书签。从子菜单中选择导入书签和设置。在打开的窗口中，选择 Bookmarks HTML File 。将打开一个文件选择窗口。在 Samurai 的主目录中选择文件 chrome_bookmarks.html。

部分目标环境在使用前需要初始化。使用他们的设置链接或重置他们的数据库来执行此操作。

总体而言，Samurai 看起来像是许多针对信息安全专业人士的 Live CD 的绝佳补充。 Samurai 成功地成为具有许多出色工具的易于使用的发行版。 Samurai 还有助于突出许多其他伟大的开源用于渗透测试人员和信息安全专业人员的 ols。

这样的 Live CD 的一大优点是您可以从 CD 启动并测试工具，而无需经过安装过程并首先配置它们。 这让用户有机会测试路测工具，然后再决定它们是否足够有价值以安装在主要系统上。