Kali——WEB渗透(八)
学习web渗透过程中的心得体会以及知识点的整理,方便我自己查找,也希望可以和大家一起交流。
—— 扫描:Arachni——
一.安装
- 下载网址:
http://www.arachni-scanner.com/download/。 - 在命令行中进入到压缩包所在位置,使用命令
tar xvf [file name](文件名)。 - 安装成功后,打开“READER”,里面有web界面登陆的用户名与密码。
- web界面登录地址:
http://localhost:9221 - 管理员用户名:[email protected]
管理员密码:adminstrator
【这个初始的用户名和密码相对固定】
二.使用
【1】配置文件
| 配置文件 | 作用 |
|---|---|
| Default | 扫描已知的绝大部分漏洞 |
| Cross-Site Scripting(XSS) | 扫描跨站脚本 |
| SQL injection | 进行SQL注入 |
配置文件具体查看工具栏的"Profiles",可以进行删减和增加。
【2】高级设置
- Distribution
这就是arachni的独特之处,可以建立多个dispatcher
本功能有三个选项可供选择:
| 扫描模式选项 | 模式 |
|---|---|
| Direct | 直接扫描本机web程序 |
| Remote | 扫描经过一个dispatcher |
| Grid | 扫描经过多个(一组)dispatcher |
示意图:
<1>.Direct
<2>.Remote
调度员即一个dispatcher
<3>.Grid
- Scheduling(行程安排)
定时重复性的扫描,适用于服务器自检漏洞。
【3】.Dispatcher
- 加入一个dispatcher
命令行界面:进入arachni目录下的bin中
输入命令运行./arachni_rpcd --address =[目标IP] --port = [目标端口] --nickname = [代号] - 如果需要再次加入一个dispatcher
命令同上,但是需要加入一段代码,
--neighbour = [上一个dispatcher的IP]
