Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入

文章目录

  • Web安全1.3:Arachni扫描器安装、使用+Burpsuit激活及https证书的导入
    • 一、Arachni 扫描器安装、使用:
      • 1、下载Arachni包:
      • 2、解包:
      • 3、运行 arachni_web:
      • 4、运行 arachni_console:
      • 5、浏览器访问:
      • 6、定制扫描策略:
      • 7、漏洞扫描:
        • (如果扫描失败,请注意以下操作)
      • 8、漏洞查看与检测:
    • 二、Burpsuit激活及https证书导入:
      • 1、运行keygen(注册机):
      • 2、点击接受:
      • 3、导入激活序列号:
      • 4、点击Manual activation:
      • 5、激活证书:
      • 6、安装证书:
        • (如果证书安装没问题,最后https抓不住包请检查这步)

Web安全1.3:Arachni扫描器安装、使用+Burpsuit激活及https证书的导入

一、Arachni 扫描器安装、使用:

1、下载Arachni包:

首先附上扫描器地址===>Arachni。下载建议用windows进行下载,之后将文件拖进文件夹中。如果拖不进去,建议查看我写的另一篇文章:Web安全1:Kali安装,VMware Tools安装

2、解包:

使用命令: tar -xzvf 包名 进行解包:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第1张图片
可能出现的问题:
如果解包时最后出现下面这种情况,可能就是这个文件包受损了,可以使用这个命令进行查看文件的大小: ls -lh 文件名 ,这种情况往往该安装包的字体是红颜色的,如果是完整未受损的名称则是绿色的
除此之外,安装的路径不能有中文路径
可能是

3、运行 arachni_web:

Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第2张图片
运行之后是这样的:
在这里插入图片描述

4、运行 arachni_console:

首先我们需要另开一个命令行界面,在命令行图标上 右键后点击new window 。输入: ./arachni_console
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第3张图片

5、浏览器访问:

点击火狐图标,运行浏览器,输入以下地址: localhost:9292,之后回车。
默认用户名:admin.admin@admin
默认密码:administrator
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第4张图片

6、定制扫描策略:

(1)选择配置:
为了扫描到更多的漏洞, 因此我们需要自己定制策略:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第5张图片
(2)配置爬取:
为了进行较多的爬取,我们可以将数值进行调大些:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第6张图片
(3)设置http并发数:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第7张图片
(4)设置探测的目标:如果已知对方的系统的信息直接勾选即可,未知的都不勾选。点击Check all(检测所有),这样就会自动勾选下面的所有的漏洞。(我这里勾选了php、mysql、apache,作为以后探测使用)
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第8张图片
(5)选择插件:这里我没有勾选插件Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第9张图片
(6)最后点击创建配置:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第10张图片
等于说这个配置我们已经创建好了,下次用的时候进行直接使用扫描调用扫描配置即可。

7、漏洞扫描:

点击上面一栏Scans,接着点击new,就会出现以下界面。输入网址点击go之后就可以进行扫描了:
http://www.vulnweb.com这个网址是另一款扫描神器AWVS的网址:
可以在http://testphp.vunweb.com用来进行扫描测试。
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第11张图片
还是建议大家使用全局的配置模式,Global(default)比较好一些,大家可以查看全局配置,进行修改自己的配置。我这里只是演示,但实际选择的还是全局模式。

(如果扫描失败,请注意以下操作)

Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第12张图片
接下来在该 arachni-1.5.1-0.5.12/system/ environment 文件末尾下追加 export OPENSSL_CONF=/etc/ssl/,服务重启之后即可解决问题:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第13张图片
在这里插入图片描述
服务重启的方式:我是直接重启的虚拟机,但是我没有尝试过停止服务,再重新开启服务。如果有尝试过的小伙伴可以在评论区留言哦!谢谢!

8、漏洞查看与检测:

当我们将漏洞扫描完成之后,要进行查看漏洞,同时进行检测漏洞是否真实存在,然后判断是否有利用价值。
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第14张图片
左上角为漏洞严重性:High>Media>yellow>Informational
紧接着下边为导航:方便我们快速查找我们需要找到的漏洞类型。
右侧为所有的漏洞,点开之后可以显示其中的详细信息,我们点开第一个XSS,然后试一下。
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第15张图片
点开上面的第一条链接,之后在输入框中输入XSS的检测语句进行弹窗测试:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第16张图片
看下面的结果,果然存在一个XSS的漏洞
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第17张图片
其他的漏洞查看方式于此比较相似,但是检测的地方可能不在框中,可能存在URL中(例如SQL注入)。

二、Burpsuit激活及https证书导入:

首先使用并激活Burpsuit会用到3个文件+1个环境,文件指的就是下面3个文件,而环境指的是JDK环境,也就是JAVA环境。由于我之前已经安装好JAVA环境,这里不再演示如何安装JAVA环境。这里我使用的是火狐浏览器。
在这里插入图片描述
第一个是注册机、第二个是Burpsuit、第三个是之后生成的证书。我们只需有前面两个东西就可以了。

1、运行keygen(注册机):

点开之后是这样的,我们点击 Run
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第18张图片

2、点击接受:

Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第19张图片

3、导入激活序列号:

Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第20张图片

4、点击Manual activation:

Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第21张图片

5、激活证书:

首先将右边的框复制到注册机中的第2个框中,此时会在注册机中第3个框中生成一串密钥,之后再将它复制到右侧,最后点击next,即显示Your license is successfully installed and activated,表示成功激活。
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第22张图片
接下来点击finish,会出现下面的框。
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第23张图片
点击next,出现下面的框,之后点击Start Burp
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第24张图片

6、安装证书:

(1)设置代理:注意一定要勾选,不然是抓不住https的。

(如果证书安装没问题,最后https抓不住包请检查这步)

Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第25张图片
(2)访问 http://burp (我这里使用的是火狐浏览器)
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第26张图片
(3)之后点击CA certificate,点击保存并确认。默认证书就会下载到C盘中的下载文档中。
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第27张图片
(4)找到证书之后双击,接着点击安装证书:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第28张图片
(5)选择本地计算机之后点击下一步:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第29张图片
(6)设置证书导入:
Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入_第30张图片
(7)之后点击完成,提示导入成功。这样就可以通过代理抓取 https 的包了。

你可能感兴趣的:(Web安全1.3:Arachni扫描器安装、Burpsuit激活及https证书的导入)