Kali——WEB滲透(八)
學習web滲透過程中的心得體會以及知識點的整理,友善我自己查找,也希望可以和大家一起交流。
—— 掃描:Arachni——
一.安裝
- 下載下傳網址:
http://www.arachni-scanner.com/download/
- 在指令行中進入到壓縮包所在位置,使用指令
tar xvf [file name](檔案名)
- 安裝成功後,打開“READER”,裡面有web界面登陸的使用者名與密碼。
- web界面登入位址:
http://localhost:9221
-
管理者使用者名:[email protected]
管理者密碼:adminstrator
【這個初始的使用者名和密碼相對固定】
二.使用
【1】配置檔案
| 配置檔案 | 作用 |
|---|---|
| Default | 掃描已知的絕大部分漏洞 |
| Cross-Site Scripting(XSS) | 掃描跨站腳本 |
| SQL injection | 進行SQL注入 |
配置檔案具體檢視工具欄的"Profiles",可以進行删減和增加。
【2】進階設定
-
Distribution
這就是arachni的獨特之處,可以建立多個dispatcher
本功能有三個選項可供選擇:
| 掃描模式選項 | 模式 |
|---|---|
| Direct | 直接掃描本機web程式 |
| Remote | 掃描經過一個dispatcher |
| Grid | 掃描經過多個(一組)dispatcher |
示意圖:
<1>.Direct
<2>.Remote
排程員即一個dispatcher
<3>.Grid
-
Scheduling(行程安排)
定時重複性的掃描,适用于伺服器自檢漏洞。
【3】.Dispatcher
-
加入一個dispatcher
指令行界面:進入arachni目錄下的bin中
輸入指令運作
./arachni_rpcd --address =[目标IP] --port = [目标端口] --nickname = [代号]
-
如果需要再次加入一個dispatcher
指令同上,但是需要加入一段代碼,
--neighbour = [上一個dispatcher的IP]
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)