漏洞扫描(一)漏洞扫描器安装

Nessus虚拟机安装

为什么要用虚拟机,配置方便,虚拟机下载下来后直接导入即可使用。而且可以随时保存快照,玩坏了也可以随便复原。唯一的缺点就是文件比较大,下载较慢。(百度网盘下载速度太慢可以私戳我)

下载安装

在网上找到的Nessus虚拟机资源,还是特别好用的。
链接:https://pan.baidu.com/s/1sj6vk9Q1pb5qVZQfB1DtYA
提取码:wk2j

得到四个文件


  • 压缩文件 part1
  • 压缩文件 part2
  • 插件更新的教程图片
  • 使用说明

解压缩的时候只需要解压part1,part2会跟着一块解压

下载后启动VMware,点击文件,再点击打开

打开解压后的ovf文件

导入一段时间。。。

导入后设置两块网络适配器,一个设置为NAT 一个设置为仅主机模式

启动虚拟机,登录账号为root,密码为toor

启动Nessus服务

登录系统后,输入ifconfig查看ens34的IP

如上图我的ens34这块虚拟网卡的IP为192.168.110.10

打开浏览器访问https://192.168.110.10:8834/,注意是https而不是http

初始化一段时间后,就可以看到登录界面:


登录账号密码均为Nessus

登录成功的界面如下


接下来就可以开始愉快的扫描了。

给虚拟机拍个快照,方便恢复。

让Nessus虚拟机和kali在同一个网段

我的kali只配置了一块虚拟网卡,网络适配器选择的是NAT连接;而Nessus虚拟机默认配置了两块虚拟网卡,一块网卡是NAT连接,另一块是仅主机模式NAT模式对应的是ens33,就是ifconfig命令输出的结果中的。而ens33,虚拟机作者已经固定了IP并且不是自动分配IP了。
所以我们要设置一下。

vim 编辑一下/etc/netplan/50-cloud-init.yaml

修改为以下结果:


退出保存即可。

init 6 重启一下虚拟机,ens33就可自动分配IP,网段也和kali虚拟机的那块网卡在同一个网段了。

Nexpose 虚拟机安装

Rapid7 Nexpose是一款面向大型网络组织的安全风险智能解决方案。

这次安装已经成功了,但是激活的时候,一直遇到网络问题,几天了都没有解决。网上也有这种情况。要是以后有解决方法,我会在发出来。

文章还是值得看的,至少有个免费的企业邮箱注册。

Nexpose主动支持整个漏洞管理生命周期,包括发现,检测,验证,风险分类,影响分析,报告和缓解。

  1. Nexpose Windows / Linux:
    https://www.rapid7.com/info/nexpose-trial/

    此款是 Nexpose高级版InsightVM,Nexpose的全部功能为期30天。

  2. Nexpose虚拟机版:
    https://www.rapid7.com/info/nexpose-virtual-appliance/

    Nexpose 的全部功能 为期30天的试用,Rapid7 Nexpose虚拟设备试用版是Nexpose的全功能虚拟机版本,可用于试用。您可以快速轻松地部署它。

  3. Nexpose社区版 Windows / Linux:
    https://www.rapid7.com/info/nexpose-community/

    免费的Nexpose社区1年试用版。

这里我使用Nexpose虚拟机版本。

注意:以上三个下载链接都需要邮箱验证,且邮箱必须是独立的个人、学校、企业、机构等域名邮箱;第三方邮箱均无效!(例如:新浪、网易、126、腾讯等都视为无效)。邮箱必须有效,否则收不到许可证密钥(key)。

注册企业邮箱

首先要一个企业邮箱,用来接受注册码,Nexpose注册那里需要企业邮箱
选择国内的免费企业邮箱例如sina,但是要手机验证注册,显然不是我们想要的,不考虑。
选择外国的企业邮箱,啥都不用,例如 zoho邮箱。

邮箱注册地址:https://www.zoho.com.cn/mail/signup.html

进入后的界面:


备用邮箱地址可以填自己常用的邮箱,以便用来找回zoho邮箱的密码。

注册成功后就可以进入登录后的界面。注意,邮箱地址是@zoho.com.cn,而非@zoho.com

注册nexpose来获取下载链接和KEY

完成上面的zoho邮箱注册就可以点击下面的链接来注册nexpose了
https://www.rapid7.com/info/nexpose-virtual-appliance/

除了邮箱信息,其他都可以随便填写。


点击SUBMIT后,就可以看到相关提示信息了

图中的download,就是下载nexpose虚拟机的地址,并且它告诉我们激活密钥已经发送到我们之前填的注册邮箱上了。(下载的网址在国外,下载速度比较慢,建议白天下载,晚上下载尤其慢

收到的邮件内容:


运行虚拟机

启动VMware,点击文件,再点击打开

选择刚刚下载好的ova文件

导入一会,再修改一下内存大小网络适配器

内存大小视主机内存大小而定

启动虚拟机,登录账号密码均为:nexpose
登录成功后会要求修改密码,密码设置规则还挺麻烦的,我设置的密码为:QWERzxcvaaa123@

进入后ifconfig命令查看虚拟机IP

物理主机浏览器访问https://IP:3780,会需要一段时间初始化。

初始化好后登录web控制台,账号为:nxadmin,密码为:nxpassword

又要修改控制台的密码:


用户名还是nxadmin,我将密码修改为password

输入邮箱中的KEY进行激活


好吧,一直激活失败!!就这样吧。

漏洞扫描的第一部分就到这里。后续会以Nessus漏洞扫描器为主,配合metasploit使用。Nessus特别好用,很多大公司都在使用。

感谢大家的阅读~

你可能感兴趣的:(漏洞扫描(一)漏洞扫描器安装)