Ubuntu下安装与使用Nikto

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。

Nikto的作者是Chris Sullo,他是开放安全基金会(Open Security Foundation) 的财务总监。

官方网站

Ubuntu下安装Nikto
sudo apt-get install nikto

简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息
nikto –h 192.168.0.1

多端口扫描
nikto –h 192.168.0.1 –p 80,88,443

加代理扫描
nikto –h 192.168.0.1 –p 80 –u

CGI扫描 -C参数只能放在后面,应该可以指定相对目录。
nikto –h 192.168.0.1 -c
nikto –h 192.168.0.1 -c /phpbb

数据库扫描 此参数也需要跟在后面
nikto –h 192.168.0.1 -c -d

猜测apache默认配制密码 前提需要目标服务器允许guess
nikto –h 192.168.0.1 -m

报告输出指定地点
nikto –h 192.168.0.1 -o result.txt

Tuning选项控制Nikto使用不同的方式来扫描目标。这个最有价值。-T参数后的数字是隐藏的,大家可以灵活搭配使用
  0.文件上传
  1.日志文件
  2.默认的文件
  3.信息泄漏
  4.注射(XSS/Script/HTML)
  5.远程文件检索(Web 目录中)
  6.拒绝服务
  7.远程文件检索(服务器)
  8.代码执行-远程shell
  9.SQL注入
  a.认证绕过
  b.软件关联
  g.属性(不要依懒banner的信息)
  x.反向连接选项

nikto –h 192.168.0.1 -T 58
nikto –h 192.168.0.1 -T 58x
nikto –h 192.168.0.1 -T 默认不指定数字,应该是全部扫描吧, 没测试过

更新插件和数据库
nikto -update

完全点的检测一个主机信息
nikto –h 192.168.0.1 -m -T -c -o 结果.txt

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/25164.html