Nikto 网页服务器扫描器

已于 2023-01-16 22:58:18 修改
阅读量1.5k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: Nikto
于 2022-12-13 14:14:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leiwuhen92/article/details/128301140

一、Nikto介绍

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。
 
Ubuntu下安装Nikto:
    sudo apt-get install nikto
 
通过 nikto -h 来查看 nikto 的参数说明,但h参数只能查看部分常用的参数:若需要查看更详细的帮助信息,可输入以下语句man nikto
5d8efcb581fb4923868bb1b07a295fc7.png
 
nikto 可以通过 -V 参数来确定其版本以及每个插件的版本:nikto -V
ec8653f420a9489197b56199d16d8853.png
 

二、使用

简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息,默认端口80 
nikto –h 192.168.0.1
nikto –h 文件名  # 批量扫描
多端口扫描 
nikto –h 192.168.0.1 –p 80,88,443
加代理扫描 
nikto –h 192.168.0.1 –p 80  -useproxy http://127.0.0.1:10809
CGI扫描 -C参数只能放在后面,应该可以指定相对目录。 
nikto –h 192.168.0.1 -c
nikto –h 192.168.0.1 -c /phpbb
数据库扫描 此参数也需要跟在后面 
nikto –h 192.168.0.1 -c -d
 
猜测apache默认配制密码 前提需要目标服务器允许guess 
nikto –h 192.168.0.1 -m
 
报告输出指定地点 
nikto –h 192.168.0.1 -o result.txt
 
Tuning选项控制Nikto使用不同的方式来扫描目标。这个最有价值。-T参数后的数字是隐藏的,大家可以灵活搭配使用
0.文件上传
1.日志文件
2.默认的文件
3.信息泄漏
4.注射(XSS/Script/HTML)
5.远程文件检索(Web 目录中)
6.拒绝服务
7.远程文件检索(服务器)
8.代码执行-远程shell
9.SQL注入
a.认证绕过
b.软件关联
g.属性(不要依懒banner的信息)
x.反向连接选项
  
nikto –h 192.168.0.1 -T 58
nikto –h 192.168.0.1 -T 58x
nikto –h 192.168.0.1 -T 默认不指定数字,应该是全部扫描吧, 没测试过
更新插件和数据库 
nikto -update
 
完全点的检测一个主机信息 
​nikto –h 192.168.0.1 -m -T -c -o 结果.txt
 

三、使用实例

1、常规扫描(扫描sqli-labs主机:192.168.26.53)
6492a8066c474904934462e165f65068.png 
2、扫描Https网站(www.baidu.com)
b153d9b87f424633b0643bcbd9deb55e.png
 
 
3、对sqli-labs的网站进行漏洞扫描,并将结果输出到/root/result.htm
-F:规定输出文件的格式
-o:以文件形式输出扫描结果
-c:指定扫描的目录,使用-c all 可进行目录爆破,并扫描
fad73b9b181147e6b05211cd292bed53.png
 

 

信息技术(二)-使用Nikto进行扫描
mdksa的博客
06-26 1111
要开始扫描文档,请在 Nikto的“编辑”菜单上单击“过滤器”选项卡,然后选择“文件”。“nikto”用于选择需要扫描的页面,“omics”用于选择需要扫描的页数,“allies”用于选择要扫描的页数(取决于页面),“scanf”用于扫描任何数字文档或文本文档(包括图像)。如果您已经添加到 kali的 Nikto中,但您仍然无法扫描文档,则可能是因为在 Kali中没有可用的 Nikto软件。设置为要扫描的文档后,请点击“选择”按钮,然后将鼠标指针放在要扫描的位置上,然后选择要扫描的文件。
Nikto一键扫描Web服务器(KALI工具系列三十)
LNN0212的博客
06-23 1687
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。Nikto 是一个开源的 Web 服务器扫描工具,用于检测 Web 服务器中的常见漏洞和配置错误。
Nikto安全扫描工具
08-14
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 root@91ri.org:~# cd /pentest/web/nikto/ root@91ri.org:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins templates root@91ri.org:/pentest/web/nikto# ./nikto.pl -h Option host requires an argument -config+ Use this config file -Cgidirs+ scan these CGI dirs: ‘none’, ‘all’, or values like “/cgi/ /cgi-a/” -dbcheck check database and other key files for syntax errors -Display+ Turn on/off display outputs -evasion+ ids evasion technique -Format+ save file (-o) format -host+ target host -Help Extended help information -id+ Host authentication to use, format is id:pass or id:pass:realm -list-plugins List all available plugins -mutate+ Guess additional file names -mutate-options+ Provide extra information for mutations -output+ Write output to this file -nocache Disables the URI cache -nossl Disables using SSL -no404 Disables 404 checks -port+ Port to use (default 80) -Plugins+ List of plugins to run (default: ALL) -root+ Prepend root value to all requests, format is /directory -ssl Force ssl mode on port -Single Single request mode -timeout+ Timeout (default 2 seconds) -Tuning+ Scan tuning -update Update databases and plugins from CIRT.net -vhost+ Virtual host (for Host header) -Version Print plugin and database versions + requires a value Note: This is the short help output. Use -H for full help. 升级插件 root@91ri.org:/pentest/web/nikto# ./nikto.pl -update -h 指定扫描的目标 –p 端口 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -p 80 -C 指定CGI目录 –all表示猜解CGI目录 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -C all -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞 root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -T 9 -D指定输出显示 2显示cookies root@91ri.org:/pentest/web/nikto# ./nikto.pl -h www.91ri.org -D 2 -T选项包含的小选项解释: 0 检查文件上传页面 1 检查web日志 2 检查错误配置或默认文件 3检查信息泄露问题 4 检查XSS/Script/HTML问题 5 从根目录检查是否存在可访问的文件 6 检查拒绝服务问题 7 从任意文件检索是否存在可访问文件 8 检查是否存在系统命令执行漏洞 9 检查SQL注入漏洞 a 检查认证绕过问题 b 识别安装的软件版本 c 检查源代码泄露问题 x 反向链接选项
网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
最新发布
chengxuyuanyy的博客
04-22 1505
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
Nikto
wwwwwhdn的博客
11-07 550
Nikto是一款常用的开源网络安全扫描工具,专门用于发现和评估Web服务器上的潜在安全漏洞和配置错误。它由CIRT(计算机应急响应团队)开发,并广泛用于安全测试、漏洞评估和渗透测试。Nikto能够对目标主机进行全面的扫描,包括对常见漏洞、敏感文件和目录、不安全的配置等进行检查。它通过发送HTTP请求并分析服务器的响应来发现潜在的安全问题。Nikto能够检查多个方面的安全性,如服务器配置、CGI脚本、默认文件、SSL/TLS设置等。
Nikto扫描器,扫描网站信息
keyboard专栏
07-04 758
Nikto 是一个功能强大的开源 Web 服务器扫描器,能够检测出 Web 服务器中的常见漏洞和配置错误。下面是如何安装和使用 Nikto 的步骤。
信息安全技术使用Nikto进行扫描
abdiltip047的博客
06-19 820
Nikto使用perl语言编写,是一个开放源码(GPL, GNU General Public License)的web服务器扫描器,它对web服务器上的多个项目执行全面的测试,包括超过6700个潜在的危险文件/程序,检查超过1250个服务器的过期版本,以及270多个服务器上的特定版本的问题。-o选项告诉它在哪里存储输出,“o”是"output"的缩写,文件的扩展名决定它将采用的格式。命令中,参数“-h”是host的缩写,告诉Nikto扫描哪个主机,本例中使用的是域名方式,其它情况下可以换成IP地址。
nikto:Nikto Web服务器扫描仪
04-28
Nikto的Web服务器扫描仪- 完整文档 正常运行: git clone https://github.com/sullo/nikto # Main script is in program/ cd nikto/program # Run using the shebang interpreter ./nikto.pl -h ...
Nikto网络服务器扫描器:发现默认和不安全文件
资源摘要信息:"Nikto是一个开源的网页服务器扫描器,其主要功能是发现网页服务器上的各种默认文件和不安全文件。它通过向目标服务器发送一系列的HTTP请求,检查服务器的配置问题、默认安装文件、以及一些已知的漏洞...
web扫描工具---nikto
weixin_59114667的博客
02-25 1003
Nikto是基于perl语言开发的web页面扫描器,可以对web服务器进行多项安全测试,它可以扫描指定主机的web类型、主机名、指定目录、特定CGI漏洞、返回主机允许的HTTP模式等
漏洞扫描软件-nikto使用
小人物的编程
04-29 1584
Nikto是一个开放源码(GPL)的web服务器扫描器,它对web服务器上的多个项目执行全面的测试,包括超过6700个潜在的危险文件/程序,检查超过1250个服务器的过期版本,以及270多个服务器上的特定于版本的问题。它还检查服务器配置项,如是否存在多个索引文件、HTTP服务器选项,并尝试标识已安装的 web服务器和软件。扫描项目和插件经常更新比较活跃并且可以自动更新
webscan网站扫描工具
04-23
WEBScan扫描网站工具。绿色版,经测试没有木马。
WebRobot网站扫描工具
11-22
这是WebRobot网站扫描工具,非常不错的一款web扫描工具
低调点Web扫描器,很强大的网站扫描器
06-27
低调点Web扫描器,很强大的网站扫描器,很多功能,很方便操作
超强网站扫描
12-12
网站后台目录扫描工具, 调用外部核心扫描网站后台目录
漏洞扫描工具Nikto的使用
weixin_63286108的博客
05-11 2014
漏洞扫描工具Nikto的使用
nikto扫描测试
Deeeelete的博客
01-29 1020
工具kali自带,但因为现在nikto之后的更新已经转移到github去了,国内kali中的nikto -update已经获取不到最新的版本,如需最新版本可以下方自取,这里就用自带的工具进行演示了。 nikto github下载:https://github.com/sullo/nikto nikto 官网下载页:https://cirt.net/Nikto2 nikto历史版本:https:...
Web漏洞扫描神器Nikto使用指南
热门推荐
liver100day的博客
11-18 2万+
文章目录工具简介工具下载链接nikto安装nikto基础语句指定端口进行扫描指定目录进行扫描多目标扫描其他功能扫描结果输出Nikto扫描交互参数IDS 躲避使用代理扫描后言 工具简介 Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。但其软件本身并不经常更新,最新和最危险的可能会检测不到。 工具下载链接 官方网站:https://cir
Web漏洞扫描神器Nikto
wzj的博客
04-24 809
Nikto是一款开源的网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs,超过625种服务器版本,可以扫描超过230种特定服务器问题。扫描项和插件可以自动更新。 nikto基础语句 1.通过 h 参数来查看 nikto 的参数说明 nikto -h 2.查询其版本以及每个插件的版本 nikto -V 3.对目标进行扫描 nikto -h 192.168.1.8 3.指定端口进行扫描 nikto -h 192.168.1.8 -p 8080,809
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值