WebSocket安全审计：构建OpenClaw弱令牌检测工具BruteClaw

1. 项目概述与核心价值

最近在整理一些老旧系统的安全审计报告时，我又一次遇到了那个熟悉的问题：很多开发者为了方便，在部署一些开源或自研的中间件时，会直接使用默认的、甚至是弱口令的认证令牌。这次我聚焦的是一个名为 OpenClaw 的组件。你可能在不少自动化部署脚本里见过它，它的功能很强大，但问题也出在这里——太多脚本为了方便，直接把类似admin123、token_placeholder这样的字符串硬编码进去，当作认证令牌。这无异于给系统大门装了一把人人都能猜到的锁。

于是，我花时间写了一个小工具，我把它叫做 BruteClaw。本质上，它是一个针对 OpenClaw 弱令牌的审计脚本。它的工作逻辑很直接：给定一批目标地址和一份可能的令牌字典，脚本会尝试建立 WebSocket 连接并进行认证，从而快速找出那些使用了默认或弱令牌的实例。请注意，这个工具的唯一合法用途是用于你拥有明确授权的渗透测试、安全审计或对你自身管理的资产进行安全检查。未经授权对他人系统进行扫描或攻击是违法行为，这一点必须时刻牢记。

这个工具的价值在于它的主动防御性。作为管理员或安全研究员，你可以定期用它扫描自己网络内可能存在的 OpenClaw 实例，提前发现风险点，而不是等到被攻击者利用后才后知后觉。接下来，我会详细拆解这个工具的设计思路、实现细节以及在实际使用中积累的一些经验。

2. 工具设计思路与原理拆解

2.1 为什么选择 WebSocket 作为突破口？

OpenClaw 的管理接口或某些核心功能通常通过 WebSocket 协议暴露。与传统的 HTTP API 相比，WebSocket 提供了全双工通信通道，适合需要实时交互的场景。从安全审计的角度看，这意味着它的认证握手过程也发生在 WebSocket 连接建立的初期。

我们的脚本正是模拟了一个正常的 WebSocket 客户端。其核心攻击面在于：许多自动化部署工具（如 Ansible Playbook、Docker Compose 模板、Kubernetes Helm Chart）在配置 OpenClaw 时，为了图省事，会用一个简单的默认令牌填充配置文件，并且没有在部署后提醒或强制管理员修改。攻击者（或我们的审计脚本）只需要知道这个默认值，或者通过一个常见的弱口令字典进行尝试，就能绕过认证。

2.2 核心工作流程解析

BruteClaw 的整个工作流程可以概括为“读取-组合-并发测试-记录”。它并不是一个复杂的漏洞利用工具，而是一个高效的“钥匙尝试器”。

1. 输入准备：脚本需要两份清单。一份是targets.txt，里面列出了所有待检查的 OpenClaw 实例的 WebSocket 地址（格式如ws://192.168.1.100:8080或wss://api.example.com）。另一份是tokens.txt，这是一个文本文件，每行是一个待测试的认证令牌。这份列表的“质量”直接决定了审计的深度，它可以包含从互联网上搜集的常见默认令牌、弱口令字典以及根据目标业务特点生成的猜测词。

2. 组合与并发：脚本会读取这两个文件，生成“目标-令牌”的所有可能组合。为了提高效率，它采用了异步并发的方式同时测试多个组合，默认并发数设置为10。这个数字是权衡了效率和避免对目标造成过大负载后的一个经验值。如果目标网络环境良好，可以适当调高；如果目标服务比较脆弱，则应调低。

3. 认证测试：对于每一对组合，脚本会尝试异步建立一个 WebSocket 连接。在连接握手阶段，它会将当前测试的令牌以 OpenClaw 预期的方式（例如，放在特定的协议头或初始握手消息中）提交给服务端。服务端的响应决定了结果：

   • 成功：连接建立，并且后续的认证握手消息被接受。这表明该令牌对该目标有效。
   • 失败：连接可能建立，但认证消息被拒绝，连接随即被服务端关闭。
   • 异常：根本连不上目标地址，可能是网络问题、服务未运行，或者地址格式错误。

4. 结果记录：所有成功的组合（目标地址 + 有效令牌）会被实时追加记录到一个名为success_log.txt的文件中，方便后续进行深入分析和修复。

2.3 技术选型：Python +websockets+cryptography

选择 Python 作为实现语言，主要基于其在安全审计领域的生态和快速原型能力。核心依赖只有两个：

• websockets库：这是一个功能强大且易于使用的库，用于处理 WebSocket 客户端和服务端的通信。它完美支持异步（asyncio），这正是我们实现高并发测试所必需的。
• cryptography库：虽然在这个基础版本的爆破脚本中可能没有直接用到加解密功能，但引入它是出于前瞻性考虑。一些更复杂的认证方案可能会对令牌进行哈希或签名处理。提前引入这个库，为后续实现更复杂的认证逻辑（如处理 JWT 令牌、哈希校验等）做好了准备，避免了依赖的突然变更。

注意：在实际使用中，务必通过可信源（如 PyPI）安装这些库，并使用虚拟环境隔离项目依赖，避免污染系统 Python 环境。命令pip install websockets cryptography应在项目专属的虚拟环境中执行。

3. 环境配置与详细使用指南

3.1 环境准备与依赖安装

首先，确保你的系统安装了 Python 3.8 或更高版本。你可以通过命令行检查：

python3 --version

接下来，为这个项目创建一个独立的虚拟环境。这是一个好习惯，能确保依赖包不会互相冲突。

# 创建项目目录并进入 mkdir brutecraw_audit && cd brutecraw_audit # 创建虚拟环境（这里使用 venv 模块） python3 -m venv venv # 激活虚拟环境 # 在 Linux/macOS 上： source venv/bin/activate # 在 Windows 上： venv\Scripts\activate

激活后，你的命令行提示符前通常会显示(venv)。然后安装必要的依赖：

pip install websockets cryptography

3.2 输入文件详解与准备

BruteClaw 的运行依赖于两个核心输入文件。脚本设计得很贴心，如果它发现当前目录下没有这两个文件，会自动生成带注释的模板文件。

1. targets.txt：目标字典这个文件每行包含一个 OpenClaw 实例的 WebSocket 端点地址。

   • 格式：必须是ws://（非加密）或wss://（加密）开头的完整 URI。
   • 示例：

     ws://192.168.1.1:8080 wss://internal-api.company.com/claw ws://10.10.20.30:3000

   • 实操心得：在收集目标时，除了已知的 IP 和域名，还可以结合网络空间测绘引擎（如 Shodan、Fofa）的搜索结果，使用product:“OpenClaw”之类的语法进行批量收集。但再次强调，仅针对你拥有授权测试的资产。

2. tokens.txt：令牌字典这个文件包含了所有你想要测试的认证令牌字符串。

   • 格式：每行一个令牌，纯文本即可。
   • 内容建议：
     • 默认令牌：如default_token,admin,password,123456,openclaw_secret。
     • 常见弱口令：可以从互联网上获取的 Top 1000 弱口令列表。
     • 模式化猜测：如果知道目标公司的命名习惯，可以生成如company2024_token,dev_claw_key等。
   • 示例：

     admin 123456 token secret openclaw placeholder changeme

当你第一次运行脚本时，如果缺少这两个文件，控制台会提示你文件已生成。你可以直接编辑这些生成的模板文件。

3.3 运行脚本与解读输出

配置好输入文件后，运行脚本非常简单：

python3 brutecraw.py

脚本启动后，它会开始异步任务，同时尝试多个目标-令牌组合。在控制台上，你会看到实时的输出反馈，通常包含三种状态：

• ✅ Success：恭喜，找到了一个有效的组合！脚本不仅会在控制台打印，还会将详细信息（包括时间戳、目标地址和对应的令牌）写入success_log.txt文件。这是你的“战利品”，也是需要立即着手修复的安全漏洞。
• ❌ Failed：当前测试的令牌被目标服务器拒绝。这是最常见的结果，说明这个令牌不对。
• ⚠️ Exception：遇到了网络或连接问题。这本身不意味着令牌无效，而是根本没能完成认证测试。需要特别关注的一种常见异常是：The error https://x.x.x.x/ isn‘t a valid URI: scheme isn’t ws or wss。这通常意味着你提供的ws://地址，在实际连接时被服务器重定向到了一个https://的 HTTP 端点。解决方法：将targets.txt中该目标的协议从ws改为wss再试。如果服务本身不支持wss，那可能就是地址本身有误，或者该端口提供的根本不是 WebSocket 服务。

4. 核心代码逻辑与关键参数解析

虽然我们主要讨论使用，但理解脚本的核心逻辑有助于你进行自定义和问题排查。以下是brutecraw.py脚本关键部分的简化逻辑解析。

4.1 异步并发测试的核心函数

脚本的核心是一个异步函数，负责测试单个目标-令牌组合。

import asyncio import websockets from urllib.parse import urlparse async def test_connection(target_uri, token): """ 测试特定的目标URI和令牌组合。 """ headers = { # 这里是最关键的部分：如何传递令牌。 # OpenClaw常见的认证方式是在握手头中携带令牌。 # 具体头字段名需要根据OpenClaw的实际接口文档确定，例如可能是‘X-Auth-Token’。 “X-Auth-Token”: token, “User-Agent”: “BruteClaw-Audit-Scanner/1.0” } try: # 设置一个合理的超时时间，避免因单个目标卡住而阻塞整个扫描 timeout = aiohttp.ClientTimeout(total=10) async with websockets.connect(target_uri, extra_headers=headers, timeout=timeout) as websocket: # 连接成功建立，说明至少网络是通的。 # 为了确认认证成功，我们可能需要尝试发送一条特定消息并等待响应。 # 例如，发送一个‘ping’或‘auth’指令。 await websocket.send(“auth_check”) response = await asyncio.wait_for(websocket.recv(), timeout=5.0) # 根据响应判断是否认证成功。这里假设返回“OK”表示成功。 if response == “OK”: return True, “Authenticated” else: return False, “Auth rejected” except websockets.exceptions.InvalidStatusCode as e: # 常见的状态码如 401 Unauthorized, 403 Forbidden return False, f“HTTP {e.status_code}” except (websockets.exceptions.WebSocketException, OSError, asyncio.TimeoutError) as e: # 处理连接拒绝、超时、网络错误等 return False, f“Connection error: {type(e).__name__}”

关键点解析：

1. extra_headers：这是传递认证令牌最常见的地方。你需要根据 OpenClaw 的实际认证方式调整headers字典中的键值对。除了X-Auth-Token，也可能是Authorization: Bearer等形式。
2. 握手后验证：仅仅建立连接有时不足以证明令牌有效。有些服务会在连接建立后进行首次消息验证。上面示例中的await websocket.send(“auth_check”)就是模拟这一步。你需要根据目标服务的实际协议来调整发送的消息和预期的响应。
3. 异常处理：细致的异常处理能帮你准确区分是“令牌错误”还是“网络问题”。

4.2 主控逻辑与并发控制

主函数负责读取文件、组合任务、并控制并发度。

import aiofiles async def main(): # 1. 读取目标列表 async with aiofiles.open(‘targets.txt’, ‘r’) as f: targets = [line.strip() for line in await f.readlines() if line.strip()] # 2. 读取令牌列表 async with aiofiles.open(‘tokens.txt’, ‘r’) as f: tokens = [line.strip() for line in await f.readlines() if line.strip()] # 3. 创建任务列表 (所有组合) tasks = [] for target in targets: for token in tokens: task = test_connection(target, token) tasks.append(task) # 4. 使用信号量控制并发数 semaphore = asyncio.Semaphore(10) # 默认并发数10 async def sem_task(task): async with semaphore: return await task # 5. 并发执行并收集结果 results = await asyncio.gather(*[sem_task(t) for t in tasks], return_exceptions=True) # 6. 处理结果，记录成功项 for (target, token), result in zip([(t, tok) for t in targets for tok in tokens], results): if isinstance(result, tuple) and result[0]: # 如果结果是元组且第一个元素为True（成功） success_msg = f“[SUCCESS] Target: {target} | Token: {token} | Info: {result[1]}” print(f“✅ {success_msg}”) # 异步写入成功日志 async with aiofiles.open(‘success_log.txt’, ‘a’) as log: await log.write(success_msg + “\n”) else: # 处理失败或异常，打印相应信息 print(f“❌/⚠️ Target: {target}, Token: {token} -> Result: {result}”) if __name__ == “__main__”: asyncio.run(main())

关键参数与调整：

• 并发数 (Semaphore值)：10是一个保守的默认值。你可以根据你的网络带宽和目标服务的抗压能力进行调整。调高可以加快扫描速度，但可能触发目标的速率限制或被防火墙识别为攻击；调低则更隐蔽、对目标更友好。建议在内网测试时可以从10开始，对外网目标建议降至5甚至更低。
• 超时时间：在test_connection函数中设置的timeout参数至关重要。对于网络延迟高的环境，需要适当增加超时时间，否则大量连接会因超时被误判为失败。

5. 高级技巧与实战经验分享

经过多次内部审计和授权测试，我积累了一些让 BruteClaw 用起来更高效、更精准的经验。

5.1 定制化令牌字典的构建策略

一份好的tokens.txt是成功的关键。不要只依赖通用的弱口令列表。

1. 信息搜集与组合：

   • 代码仓库挖掘：在 GitHub、GitLab 上搜索公开的 OpenClaw 部署脚本、Dockerfile 或 CI/CD 配置文件，寻找硬编码的令牌示例。
   • 版本关联：不同版本的 OpenClaw 可能有不同的默认令牌。查阅其官方文档或历史版本的 Changelog。
   • 公司/项目特定：如果审计特定目标，尝试将公司名、项目名、常用缩写与常见后缀（如_token,_secret,_key,2024,123）进行组合。

2. 使用规则生成字典：可以借助工具（如hashcat的规则模式或Crunch）来生成更复杂的字典。例如，基于基础词admin，生成Admin123,admin!@#,Admin2024等变体。

5.2 处理复杂认证与协议交互

基础的 WebSocket 头注入可能不总是有效。OpenClaw 或其他类似服务可能有更复杂的认证流程。

1. 认证协议升级：有些服务要求在 WebSocket 连接建立后，发送一个特定格式的 JSON 消息来完成认证。你需要使用网络抓包工具（如 Wireshark）或浏览器的开发者工具（Network -> WS），对一个已知的有效连接进行抓包，分析其握手后第一条消息的结构，然后修改test_connection函数中的await websocket.send()部分来模拟它。

   # 示例：发送JSON格式的认证消息 auth_message = json.dumps({“action”: “authenticate”, “token”: token}) await websocket.send(auth_message) response = await websocket.recv() # 解析response判断是否成功

2. 处理 SSL/TLS 证书：对于wss://目标，如果遇到自签名证书问题，你可能需要在websockets.connect()中传递ssl参数。注意：在正式审计中，忽略证书验证 (ssl=ssl._create_unverified_context()) 仅应在测试环境中使用，并充分了解其安全风险。

5.3 规避检测与速率限制

在授权测试中，我们也需要表现得像“友好的测试者”，避免对生产服务造成影响或触发安全警报。

1. 随机延迟：在并发任务之间增加随机延迟，可以显著降低扫描的“攻击性”特征。可以在sem_task函数中加入await asyncio.sleep(random.uniform(0.1, 0.5))。
2. 变换 User-Agent：虽然 WebSocket 头中的 User-Agent 不如 HTTP 那么受关注，但保持多样性是个好习惯。可以准备一个列表随机选取。
3. 分布式扫描：如果目标列表非常庞大，可以考虑将targets.txt拆分成多个文件，在不同的机器或 IP 上同时运行扫描脚本，但要确保所有这些操作都在授权范围内。

5.4 结果分析与后续行动

当success_log.txt中出现记录时，你的工作才刚刚开始。

1. 验证与危害确认：不要完全信任工具的结果。手动使用找到的令牌和地址，通过一个标准的 WebSocket 客户端（如浏览器插件或wscat命令行工具）进行连接，并尝试执行一些非破坏性的只读操作（如查询状态、列出用户等），确认漏洞的真实性和危害等级。
2. 风险溯源：找到漏洞实例后，追溯其部署来源。是哪个部署脚本？是谁在何时部署的？这有助于从根源上修复流程，防止同样的问题再次发生。
3. 安全加固建议：为管理员提供明确的修复方案：
   • 立即修改：强制修改所有 OpenClaw 实例的认证令牌为强密码（长、随机、唯一）。
   • 网络隔离：确保管理接口不直接暴露在公网，应置于内网或通过 VPN 访问。
   • 访问控制：如果可能，配置 IP 白名单或更高级的认证方式（如 OAuth、客户端证书）。
   • 部署流程：修改自动化部署脚本，要求必须输入强令牌或从安全的密钥管理系统动态获取，禁止硬编码默认值。

6. 常见问题与故障排查实录

在实际使用过程中，你肯定会遇到各种各样的问题。下面是我遇到的一些典型情况及其解决方法。

6.1 连接与协议相关问题

6.2 脚本运行与性能问题

6.3 法律与授权风险规避

这是最重要的一类“问题”，必须前置解决。

• 问题：如何确保测试合法？
• 解决方案：
  1. 书面授权：在进行任何测试前，必须获得资产所有者的明确书面授权。授权范围应清晰界定目标系统、测试时间、测试方法。
  2. 范围限定：严格在授权范围内测试。使用targets.txt严格限定目标列表，不要进行网络段扫描。
  3. 行为约束：工具设计为“只读”验证型。不要包含任何可能修改数据、破坏服务或进行提权的代码。
  4. 结果保密：所有扫描结果，无论成功与否，都属于敏感信息。应妥善保管，仅向授权方报告，不得泄露。

最后，我想强调的是，像 BruteClaw 这样的工具是一把双刃剑。它在安全工程师手中是照亮系统暗角的探灯，能提前发现并修复隐患。但我们必须以最大的责任心使用它，始终将法律、授权和职业道德放在首位。真正的安全，源于严谨的流程、持续的关注和负责任的态度，而工具只是这一过程的延伸。