Web漏洞扫描篇-Nessus使用
Nessus是一种漏洞扫描器,个人和组织广泛使用它来识别和修复计算机系统中的漏洞。Nessus可以扫描广泛的漏洞,包括缺少补丁、弱密码和配置错误的系统,它可以扫描单个系统或整个网络上的漏洞。Nessus可以在各种平台上运行,包括Windows、Linux和MacOS。要使用Nessus,您需要在连接到要扫描的网络的系统上下载并安装该软件。安装后,您可以创建扫描策略来指定要扫描的系统和端口,以及要查
软件介绍
Nessus是一种漏洞扫描器,个人和组织广泛使用它来识别和修复计算机系统中的漏洞。Nessus可以扫描广泛的漏洞,包括缺少补丁、弱密码和配置错误的系统,它可以扫描单个系统或整个网络上的漏洞。Nessus可以在各种平台上运行,包括Windows、Linux和MacOS。
要使用Nessus,您需要在连接到要扫描的网络的系统上下载并安装该软件。安装后,您可以创建扫描策略来指定要扫描的系统和端口,以及要查找的漏洞类型。然后,您可以运行扫描并查看结果,结果将以报告的形式显示。该报告将列出已发现的任何漏洞,以及如何修复这些漏洞的建议。
总体而言,Nessus是一个强大的工具,可以帮助您识别和修复系统中的漏洞,提高其安全性并降低泄露风险。
下载地址
https://www.tenable.com/downloads/nessus?loginAttempted=true
安装教程
(1)这里使用kali进行演示,将下载后的文件拖至虚拟机中。
图2.1 虚拟机界面
(2)在Nessus目录下打开终端,输入命令将其安装【注意这里的权 限为root权限】。
dpkg -i Nessus-10.4.1-debian9_amd64.deb
图2.2 安装指令
(3)有如下命令说明我们已经成功安装。
图2.3 成功安装命令
(4)启动命令:service nessusd start
图2.4 启动命令
启动浏览器页面
- 使用命令ifconfig查看kali的IP地址。
图2.5 ifconig命令
- 用浏览器访问Nessus的web网站,访问https://kali:8834,创建用户。
图2.6 创建用户
- 选择managed scanner模式并继续
图2.7 managed scanner模式
- 选择tenable.sc并继续。
图2.8 选择tenable.sc
- 填写账户名称、密码然后submit,等待配置完成。
图2.9 等待配置
- 配置完成界面,但是没有激活,无法使用。
图2.10 配置完成
- 访问官网注册账户获取注册码,(可能有点慢)注册码会发到你提交的邮箱中。
https://zh-cn.tenable.com/products/nessus/nessus-essentials
图2.11 邮箱注册码
- 获取质询码,或者叫挑战码。可以在kali终端输入一下命令/opt/nessus/sbin/nessuscli fetch --challenge
图2.12 获取挑战码
- 用浏览器打开以下网址https://plugins.nessus.org/v2/offline.php,输入申请的激活码,以及上一步得到的质询码,点击【Submit】。
图2.13 提交激活码和挑战码
- 得到更新插件地址,及license证书。
图2.14 插件地址
注意:在以上页面,插件下载地址一定要选择在新的页面打开,不然页面跳转以后再回来激活文件就会失效!
图2.15 激活证书地址
- 下载插件,下载证书nessus.license,将下载好的激活证书和插件包复制到Nessus目录下。
图2.16 下载目录
- 离线激活nessus。
/opt/nessus/sbin/nessuscli fetch --register-offline ./nessus.license
图2.17 Nessus激活成功
- 安装插件包。
/opt/nessus/sbin/nessuscli update ./all-2.0.tar.gz
/opt/nessus/lib/nessus/plugins/ #插件包目录
图2.18 插件包安装
- 重启nessus。
service nessusd restart
图2.19 重启nessus
- 重启后再次访问https://kali:8834/#/,即可加载插件,加载完成要求重新输入账号密码,登录。
图2.20 登录成功界面
使用教程
- 点击new scan。
图2.21 new scan界面
我在网上找了一个中文版页面,对比以下。
图2.22 new scan中文界面
- 选择“Basic Network Scan”,进行配置项目名称,对项目的描述,以及最重要的目标IP地址。
图2.23 Basic Network Scan界面
- 如果我们有目标主机的账号、密码,我们可以点击"Credentials",进行配置。如果是linux系统就配置SSH,windows就配置windows。
图2.24 配置目标主机
- 我们还可以查看我们要用到的插件,点击"Plugins"进行查看。
图2.25 Plugins插件界面
- 新建一个扫描后,点击图标开始扫描。
图2.26 新建扫描
- 查看扫描结果。
图2.27 扫描结束界面
Nessus配置
图2.28 Nessus配置1
图2.28 Nessus配置2
图2.28 Nessus配置3
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)