本文介紹如何使用 Nikto 掃描漏洞。

Nikto 是一個開源命令行漏​​洞掃描器,可以掃描 Web 服務器以查找潛在的危險文件、過時版本、服務器配置文件和其他問題。它是一種流行、易於使用且非常強大的滲透測試工具。

這不是隱形工具。這意味著它是被 IDS 或入侵檢測系統檢測到的最快方法(如果你想要一個隱形工具,試試 Kali 上的 nmap)。 Nikto 帶有內置的 SSL 支持、完整的 HTTP 代理支持,並以純文本、HTML、XML 等格式保存報告。 讓我們仔細看看在 Kali Linux 上安裝 Nikto 並使用它來掃描 Web 服務器的漏洞。

特徵:

  • SSL、HTTP 和代理支持
  • Cookie 支持
  • 以純文本、HTML 或 CSV 格式輸出
  • 特定服務器軟件檢查

如何在 Kali Linux 上安裝和使用 anonsurf?

安裝 Nikto

Nikto 預裝了 Kali Linux 安裝。 要運行 Nikto,請訪問: 抽屜 > 漏洞掃描器 > 沒有人 或者在終端窗口中輸入 Nikto。如果您的系統上沒有安裝它,您可以通過運行以下命令來安裝它:

sudo apt update
sudo apt install nikto

基本掃描

nikto -h <ip_address or host_name>

要掃描啟用 SSL 的網站,請運行以下命令:

nikto -h <host_name> -ssl
nikto -h <ip_address or host_name> -port <port_number>
nikto -h example.com -output /path/to/file.name

掃描IP地址

sudo ifconfig
沒人-3

要獲取網絡範圍,請運行 ipcalc。 如果您沒有 ipcalc,請運行以下命令來安裝它:

sudo apt install ipcalc
沒人-4
ipcalc 192.168.0.48
沒有人 - 5

然後使用 Nmap 掃描網絡中正在運行的服務。使用上述範圍掃描端口 80。端口 80 是默認端口。 -oG 用於提取正在運行的主機。輸出保存在名為 output.txt 的文件中。

nmap -p 80 192.168.0.0/24 -oG output.txt
沒人-6

然後運行以下命令查看保存在 output.txt 文件中的輸出。

cat nullbyte.txt | awk '/Up$/{print $2}' | cat >> targetIP.txt
沒人-7

這裡我們使用awk過濾啟動的IP地址。最後,使用 cat 命令將過濾後的輸出保存到名為 targets.txt 的新文件中。

要將輸出發送到 nikto,請運行以下命令:

nikto -h targetIP.txt

總結

所以我解釋瞭如何在 Kali Linux 上使用 nikto 掃描漏洞。還有許多其他選項和許多其他選項可用於執行深度掃描。 有關 nikto 的更多信息,請單擊此處查看手冊頁。

參考

  • https://github.com/sullo/nikto/wiki