Kali linux 学习笔记（四十二）Web渗透——扫描工具之Arachni 2020.3.19

前言

Arachni

• 一个功能完整的模块化高性能Ruby框架，旨在帮助渗透测试人员和管理员评估现代Web应用程序的安全性。
• 它是免费的，其源代码公开并可供审阅。
• 它是多平台的，支持所有主要操作系统（MS Windows，Mac OS X和Linux），并通过便携式软件包进行分发，以便即时部署。
• 它涵盖了大量的用例，从简单的命令行扫描器实用程序到全球高性能扫描器网格，允许脚本审计的Ruby库，到多用户多扫描Web协作平台。
• 另外，它简单的REST API使集成变得更加简单。
• 最后，由于其集成的浏览器环境，它可以支持高度复杂的Web应用程序，这些应用程序大量使用JavaScript，HTML5，DOM操作和AJAX等技术。

1、安装与启动

kali自带阉割版
arachni 官网(http://www.arachni-scanner.com/)
官网下载
解压

./arachni_console #启动命令行
./arachni_web #启动浏览器

2、功能

所有功能都在上面菜单栏

user：创建管理用户

dispatcher：

• 本机调用 dispatcher 指定的主机进行代理运行 arachni 扫描器
• 调用远程主机(此例写的地址是 127.0.0.1:1111)上的 arachni 扫描器进行扫描，在本机查看结果
• 得在命令行里：arachni_rpcd --address=127.0.0.1 --port=1111 --nickname=test1
• kali 启动arachni_rpcd
• 浏览器设置

scan：

• 查看漏洞页面
• 扫描结果在地址栏加上 ?-s 参数查看服务器的php源码

grid：

• 使用 Grid 自动负载均衡多个 dispatcher
• 将一个 dispatcher 放在另一个 dispatcher 之下，表示在一个组（Grid）内。
• 在命令行里：arachni_rpcd --nickname=test2 --address=127.0.0.1 --neighbour=127.0.0.1:1111
• 多个 dispatcher 的话，使用链是指向，2指向1,3指向2,4指向3等

创建扫描 dvwa 专用配置文件
有很多内容，酌情填写

结语

功能完整，GUI界面，可自行摸索

可参考
https://blog.csdn.net/qq_44867435/article/details/97694850