- 道德黑客| Nexpose分析
- 道德黑客| Nexpose分析(1)
- Nexpose(1)
- Nexpose
- 道德黑客| MSFC扫描(1)
- 道德黑客| MSFC扫描
- 道德黑客-黑客类型(1)
- 道德黑客-黑客类型
- 道德黑客-笔测试(1)
- 道德黑客-笔测试
- 道德黑客-密码黑客
- 道德黑客-密码黑客(1)
- 黑客与道德黑客之间的区别(1)
- 黑客与道德黑客之间的区别
- 道德黑客教程(1)
- 道德黑客教程(1)
- 道德黑客教程
- 道德黑客教程
- 道德黑客简介(1)
- 道德黑客简介
- 道德黑客-工具
- 道德黑客-工具(1)
- 道德黑客-概述
- 道德黑客-概述(1)
- 道德黑客-无线黑客(1)
- 道德黑客-无线黑客
- 道德黑客-枚举(1)
- 道德黑客-枚举
- 道德黑客|开发后
📅 最后修改于: 2020-12-23 09:55:01 🧑 作者: Mango
曝光扫描
现在,Nexpose已成功安装。让我们看看我们如何运行它以及该工具的作用。 Nexpose使用自己的数据库,因此我们要做的第一件事就是关闭Kali Linux的数据库。如果我们两个数据库都在同一端口上运行,它们将彼此冲突。现在,我们将停止postgresql服务。我们应该记住,在运行Nexpose之前,我们先关闭数据库。停止数据库的命令如下:
现在,我们将导航到安装Nexpose的位置。除非我们在安装过程中更改了位置。 Nexpose将安装在opt / raid7 / nexpose /目录中。运行服务器的文件存储在nsc目录中,而我们要运行的文件称为nsc.sh。
要运行任何可执行文件,我们将输入./并输入文件名nsc.sh。命令如下:
第一次运行此命令可能需要一些时间。在以下屏幕截图中,我们可以看到该工具已成功加载。它告诉我们可以使用https:// localhost:3780 URL导航到它:
现在,我们将启动浏览器并复制刚给我们的URL。然后它将要求我们输入安装工具时创建的用户名和密码:
成功登录后,它将要求我们输入产品密钥,如以下屏幕截图所示:
我们知道这是一个免费版本,当我们下载该工具时,我们必须填写表格。在这种形式下,我们必须输入我们的电子邮件地址。该工具已将产品密钥发送到我们的电子邮件,因此我们将转到我们的电子邮件并获取产品密钥并将其粘贴。粘贴后,单击带键激活。在以下屏幕截图中,我们可以看到激活成功,并且仅向我们显示了有关许可证的信息。
<="" alt="曝光扫描" class="img-fluid" p="" src="https://static.javatpoint.com/tutorial/ethical-hacking/images/ethical-hacking-nexpose-scan7.png"/>
我们将从左侧菜单转到“主页”。之后,我们将添加一个目标,然后进行测试。为此,我们要做的第一件事是单击创建,然后单击站点以添加目标:
我们将把Name设置为metasploitable :
现在,我们将转到“资产”选项卡,然后将添加目标。目标可以是范围。我们可以使用与使用Zenmap进行网络渗透一样的方式添加特定IP。在此示例中,我们针对Metasploitable机器。我们将添加Metasploitable机器的目标,即10.0.2.4 ,并将其添加到名为test的组中:
现在,在“身份验证”选项卡中,如果目标使用某种身份验证,除非他们需要使用某种服务(例如FTP服务,Telnet,Web HTTP身份验证或SQL Server)进行身份验证,否则任何人都无法访问目标。我们可以从“认证”选项卡中选择它,输入域,用户名和密码。这样,框架将能够通过该服务进行身份验证并测试我们服务器的安全性。但是我们的服务器不使用任何类型的身份验证,因此我们不需要它。如果我们要针对具有登录页面的Web应用程序(例如Gmail),那么除非使用特定的用户名和密码登录,否则我们将无法使用Gmail的大多数功能。使用此功能,我们可以登录,然后测试目标的安全性。
模板选项卡用于选择扫描类型。它具有与Zenmap相同的各种扫描类型。我们在Zenmap中看到,我们进行了快速扫描,快速扫描加上和密集扫描。这是相同的。每个配置文件都是不同的,并且它扫描不同的事物。在本节中,我们将使用扫描类型作为不使用Web Spide r的完全审核增强的日志记录:
Web Spider是一种用于在目标中查找所有文件和目录的工具。我们将尝试不使用Web Spider进行全面审核,这是默认审核。我们将扫描ICMP,TCP和UDP端口。我们保持不变。
我们还将使ENGINE标签保持不变,这意味着它将使用已安装的本地引擎,而不是使用Rapid7提供的引擎。警报选项卡用于设置自定义警报,以便在发现漏洞时得到通知。现在,我们将查看“时间表”选项卡。这是一个非常酷的功能。现在,假设我们正在一家公司中工作,该公司每天都在推送代码,新代码,或者我们今天进行测试,那么我们所做的一切都很好。我们的Web服务器,我们的程序,所有内容都是最新的,并且其中没有漏洞。比方说,也许明天某人发现了一个在我们的Web服务器上使用的程序的新漏洞,或者也许我们在项目中推送了一个新的易受攻击的代码。我们不再安全了。此功能使我们可以安排此测试的时间,以便根据关键性如何每小时,每周或每月运行一次。因此,我们要进入“创建时间表”并创建一个时间表。在此时间表中,我们可以设置开始日期,也可以将频率设置为每天。
我们创建该计划,然后扫描将在我们指定的每个间隔运行。我们可以获取它为我们生成报告。
最重要的部分是我们将目标置于“资产”选项卡中。然后,从“模板”选项卡中选择一个模板。我们已经配置了这两个选项卡,我们将单击Save and Scan ,它将保存此配置并为我们开始扫描。在以下屏幕截图中,我们可以看到资产发现正在进行中,然后,我们将讨论获得的结果:
