宇宙免责声明
---本实验旨在简单介绍下AWVS的部署及简单使用,在Kali 虚拟机下部署完成,实验环境均在VMware虚拟机内,并无涉及真实IP地址。若因传播或利用本文所提供的信息而造成任何直接或间接的后果,均由使用者本人负责,作者不为此承担任何责任!
1.1 问题
本例要求掌握AWVS的部署及简单使用,本次在Kali 2021虚拟机下部署完成,相关说明如下:
1)复制acunetix_13文件夹到kali的/root目录
2)运行脚本及相关配置
许可协议
设置主机名
设置登录的邮箱与密码
3)破解覆盖原文件
4)验证登录
5)添加扫描目标并对目标进行扫描
6)查看扫描结果
1.2 步骤
acunetix_13 文件下载与简易使用教程 http://t.csdnimg.cn/Jtn5y
http://t.csdnimg.cn/Jtn5y
实现此案例需要按照如下步骤进行。
步骤一:复制acunetix_13文件夹到kali的/root目录
将acunetix_13.zip解压之后,将整个文件夹复制到kali 2021系统的/root目录,如图-1所示。
图-1
步骤二:运行脚本及相关配置
1)首先cd到/root/acunetix_13/目录,并使用ls查看当前目录中的文件。
1. ┌──(root�kali)-[~]
2. └─# cd acunetix_13
3.
4. ┌──(root�kali)-[~/acunetix_13]
5. └─# ls
6. acunetix_13.0.200217097_x64_.sh license_info.json wvsc
2)运行脚本及根据向导进行配置
运行脚本,进入配置向导。
1. ┌──(root�kali)-[~/acunetix_13]
2. └─# bash acunetix_13.0.200217097_x64_.sh
3. Acunetix Installer Version: v_200217097, Copyright (c) Acunetix
4. ------------------------------------------------------------
5. Checking os...
6. Checking for dependencies...
7. Please read the following License Agreement. You must accept the terms of this
8. agreement before continuing with the installation.
9. press ENTER to continue
10. >>
按回车进入阅读协议部分,可以按 q 键直接跳过阅读。
1. Product: Acunetix on-premises web vulnerability scanner and vulnerability man
2. agement solution
3. END-USER LICENSE AGREEMENT
4. Definitions
5. "End-User License Agreement" ("EULA") or "License" means this End-User Licens
6. e Agreement.
7. 。。。
8. "Product" means the Acunetix on-premises web vulnerability scanner and vulner
9. --More--
输入“yes”接受许可协议。
1. Accept the license terms? [yes|no]
2. [no] >>> yes
开始配置主机名,可直接回车,使用默认主机名kali。
1. Configuring hostname...
2. Insert new hostname, or leave blank to use ubuntu
3. Hostname [kali]:
4. Using hostname kali
配置邮箱和密码,用于登录后台使用,邮箱设置为kali@.cn,密码设置为admin@123(注意:密码在输入是不显示)。
1. Configuring the master user...
2. [Email:kali@.cn](mailto:Email:kali@.cn)
3. Password:
4. Password again:
步骤三:复制相关文件到软件目录,进行覆盖破解
1. ┌──(root�kali)-[~/acunetix_13]
2. └─# cp wvsc /home/acunetix/.acunetix/v_200217097/scanner/
3. ┌──(root�kali)-[~/acunetix_13]
4. └─#cp license_info.json /home/acunetix/.acunetix/data/license/
步骤四:登录验证
使用kali火狐浏览器访问http://127.0.0.1:3443,输入邮箱和密码,如图-2所示。
图-2
点击“Login”登录,AVWS的web界面如图-3所示。
图-3
步骤五:添加扫描目标并对目标进行扫描
1)添加扫描目标
依次点击“Targets”-“Add Target”,输入Address(靶机地址,比如:http://192.168.67.6/DVWA/),以及Description(描述,比如:DVWA靶机扫描),之后点击“Save”进行保存,如图-4所示。
图-4
2)保持默认,点击“Scan”进行扫描,如图-5所示。
图-5
3)选择扫描选项,保持默认,点击“Create Scan”,如图-6所示.
图-6
4)正在扫描目标网站,如图-7所示。
图-7
5)扫描完成,如图-8所示。
图-8
步骤六:查看扫描结果
点击“Vulnerabilities”,然后点击某一项,在右侧会显示该漏洞的描述,如图-9所示。
图-9
1.3拓展
通过上面的部分我们已经学会了如何进行简单的漏洞扫描下面找一个在公网上的目标吧。(不要去测试小心眼的网站)。
1)添加扫描目标
依次点击“Targets”-“Add Target”,输入Address(靶机地址,比如:http://192.168.67.6/DVWA/),以及Description(描述,比如:DVWA靶机扫描),之后点击“Save”进行保存,如图-4所示。
图-4
2)保持默认,点击“Scan”进行扫描,如图-5所示。
图-5
3)选择扫描选项,保持默认,点击“Create Scan”,如图-6所示.
图-6
5)扫描完成,如图-7所示。
图-7
步骤六:查看扫描结果
点击“Vulnerabilities”,然后点击某一项,在右侧会显示该漏洞的描述,如图-9所示。
图-8
若你觉得没有什么问题了,那么就可以创建报告了,来到报告位置,点击上面的新报告,选择一个类型报告就可以了,我这里直接选择扫描报告,选择好后,就可以在页面上看到刚刚的任务报告了。
这里也有很多的格式选择,但是这里的类型基本上都是表格形式,点击后会过个几秒钟就会自动下载。
总结
AWVS给出的扫描结果并不代表完全真实可靠,还需要依靠人工再次验证判断。在AWVS扫描结果基础上,根据不同的严重级别进行排序、手工+工具验证的方式对漏洞验证可靠性,排除误报的情况,并尽可能找出漏报的情况,把本次扫描结果汇总,对以上已验证存在的安全漏洞排列优先级、漏洞威胁程度,并提出每个漏洞的修复建议。总的来说我们可以借助这个工具来进行扫描分析,但不能完全依赖于这个工具。
本次教程到这里就结束了
扫一扫
2472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
