记一次网络漏洞扫描任务——Red Hat部署Nikto
记一次网络漏洞扫描任务——Red Hat部署Nikto
任务简述
扫描大概2000个url,发现其漏洞
过程
- 先开始使用Nessus,但是其命令行不友好,且限制ip个数,除非破解版。
- 之后选择OWASP zap,文档见OWASP ZAP command lines,命令行如下
/usr/share/zaproxy/zap.sh -quickurl 目标url -quickout /root/result.xml
会出现扫描报错ERROR
org.parosproxy.paros.core.proxy.ProxyServer - Failed to start the proxy serverjava.net.BindException: 无法指定被请求的地址 (Bind failed)
但依旧会生成xml文件,包括漏洞等级。
- 最后选择nikto,在虚拟机上测试可以用,打算部署到服务器上面
Nikto
安装
- 环境为Redhat
- 最开始考虑安装Docker,但是因为redhat版本太低和更新源问题,通过yum安装,总会少几个依赖。
- 然后参考按照Install Unix · sullo/nikto Wiki (github.com)可以安装Net::SSLeay, or Net::SSL,安装方法在这
由于RedHat直接用yum安装的perl把hack功能都删掉了
Perl module installation error - ExtUtils::MM_Unix::tool_xsubpp : Can't find xsubpp at ...lib/ExtUtils/MM_Unix.pm line 3887 - Stack Overflow,会报各种错,需要从Perl Download 官网下载源码的perl安装
再安装lib
会出现SSL support not available (see docs for SSL install),但不影响使用
使用
Nikto安装和使用_茄子的博客-CSDN博客_nikto安装这里提到目标文件格式
Web漏洞扫描神器Nikto使用指南 - 知乎 (zhihu.com)
然后批量扫描时报错Error: Invalid IP
,先是用正则表达式判断是否有效IP,再用request测试是否request code返回200,但都解决不了问题,后来不需要扫描了也没解决