Niktoの使用

その他 2020-04-04 01:44:30 訪問数: null

前書き

Niktoは PerlのベースLibWhisker開発を使用して、オープンソース(GPL)ウェブサーバスキャナです。それは、問題のバージョンに270台以上のサーバーに1,200人以上のサーバおよび特定のバージョンをチェックし、ファイル/ CGI 6400、複数のWebサーバの完全スキャンの様々な、潜在的に危険なことができます。それもチェックサーバの設定項目は、そのような複数のインデックスファイル、HTTPサーバーのオプションがあるかどうかなど、Webサーバとソフトウェアインストールを確認してみてください。スキャンアイテムやプラグインは頻繁に更新されると自動的に更新することができます。

コマンド

1.通常のスキャン

nikto -h <IP or hostname>

NiktoはスキャンSSLとポート443(HTTPSポートサイトの使い方)(HTTPのデフォルトポート80)が可能です。したがって、我々は、用途のSSLサイトをスキャンすることができます。

nikto -h <IP or hostname> -ssl

実際には、その後、最初にHTTPを使用して、SSL、Niktoのルールを使用してポート443を指定せずに、それが失敗した場合、HTTPSルールにしてみてください。もちろん、指定された-ssl不要な手順は、時間のスキャンを節約するために省略することができます。
同時に、のNiktoもTXTファイルへのマルチドメイン/ IPスキャン、書き込み、1行につき1つをサポートしています。

nikto -h host.txt

2.スキャン指定されたポート

nikto -h xx.xx.xx.xx -p 80       #对80端口的扫描

3.スキャンし、Metasploitのペア

実行するスキャンを読み取ることができたときのNiktoは、フォーマットMetasploitの中で情報をエクスポートすることができます。ただ、スキャンを実行するためのコマンド上記、それ意志-FORMAT MSF +付加さ、それの終わりまで。この形式は、高速なデータ検索と脆弱性データベースを使用して私たちを助けることができます。

-hなし -format MSF +

4.内容は、ソリューションを推測します

-CスキャンCGIディレクトリ

nikto -h 192.168.3.111 -C all     # all表示猜解CGI目录

5.脆弱性スキャン

-Tオプションは、オプションの少し説明が含まれています:
0ファイルのアップロードページをチェック
1チェック・ウェブがログに記録
エラーが発生するか、デフォルトの設定ファイルをチェックするために2を
3チェック情報開示の問題
質問4チェックXSS /スクリプト/ HTML
5は、ファイルをチェックするために、ルートディレクトリからアクセスすることができる
6サービスの問題の拒否をチェック
7は任意のファイルからのアクセスファイルがあるかどうかを検索する
システムコマンドが実行される脆弱性が存在するかどうかをチェックするために8
9は、SQLインジェクションの脆弱性をチェックし
、チェック認証バイパス問題の
インストールバージョンBを認識ソフトウェアを
ソースコードを調べcは漏れ
のx、逆方向リンクのオプション

6.指定したプロキシスキャン

nikto -h localhost -useproxy

nikto.confプロキシ設定ファイルでは、あなたはまた、コマンドラインを設定することができます

nikto -h localhost -useproxy http://localhost:8080/

プラグをチェック7.

nikto -list-plugins     #列出可运行的插件

プラグインの実行]を選択します8.

nikto -Plugins

9.アップデートプラグインとデータベース

nikto -update

10は、検出ルールを実行することなく、唯一のHTTPおよびHTTPSポートを見つけるために使用しました

nikto -findonly

制御出力表示のNikto

nikto -Display 3

図1に示すリダイレクト
クッキー2受信したディスプレイ
3の表示200 / OKレスポンス
認証URLを必要とする4
Dデバッグ情報の
すべてのHTTP Eエラーを
Pプリント進行stdoutに
冗長V出力

12.IDSの回避技法

nikto -evasion

常用的参数:
1随机的URI编码(NO-UTF8)
2ディレクトリ自己参照(/./)
終了3早期URL
4プリペンドを長いランダムな文字列
5偽パラメータ
6 TAB要求スペーサとして
7変更URLの場合
8を使用Windowsディレクトリセパレータ()
A使用キャリッジリターン(0x0Dの)スペーサー要求として
要求スペーサとしてBを使用バイナリ値0x0Bの

13. Aテストレポートの書式指定出力ファイル

nikto -Format <csv/txt/html/msf/xml>   #默认是txt文件格式

定義されていない場合は、接尾辞-o(-output)ファイルに基づいて決定されます

詳細については、以下を参照してください。マニュアル

おすすめ

転載: www.cnblogs.com/H4ck3R-XiX/p/12630031.html
おすすめ
ランキング
Oracleのクエリ重複フィールド
An error occurred when ssm used count to query data
【Leyes de la Naturaleza】La sabiduría de las multitudes
JavaWebの研究では、(13)を締結 - セッションの使用は、重複送信フォームを防ぎます
Firebase増加サインアップクォータ
[MyBatisフレームワーク]mybatis入門
ハートレスの世界
Djangoのインストールと使用について
[转] UiPath展開アーキテクチャ
mybatis-plusは楽観的なロック変更を使用します
アーカイブ
もっと
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)

コードワールド

© 2018 codetd.com