Nexpose安装:
1、下载软件压缩包文件,点击“NeXposeSetup-Windows64”根据提示安装。
2、填入使用者信息和公司名称
3、设置资料库端口号(默认即可)
4、设置登录账号、密码
5、设置是否在安裝后初始化与启动(建议不要勾选,快速完成安裝)
6、等待NeXpose安装完成,重启计算机即可完成软件初始化
7、初始化完成后浏览器到跳转到登入界面,默认地址为:http://localhost:3780,如下图所示:
Nexpose使用:
1、登入后知识兔将看到Nexpose主页,如下图所示:2、在主页上,知识兔可以看到有一个“站点列表”部分,点击“New Static Site”,它将给出“Site Configuration”设置,第一个配置设置是“一般信息 ”。知识兔给一个名称为“Site”设置的重要性”很高”并添加一些关于网站的描述,然后点击“Next”
3、“Assets”配置页面有两个部分:“Included Assets”和“Excluded Assets.”。
在“Included Assets”中知识兔将分享两个目标IP地址,如果你要扫描整个网络范围,那么你会给整个IP范围:192.168.0.1-254;如果你有一些选择的IP列表,那么你可以通过使用“导入列表”功能导入该文件。
“Excluded Assets”是用来从扫描中排除Assets。 如果你要扫描整个IP范围,你想排除一些IPs的扫描,这些IPs排除。
完成后,点击“Next”为下一个配置
4、接下来配置的是为“Scan Setup”里的第一个选项为“Scan Template”选择扫描模板,以满足您的需求,这里知识兔使用的是“Full audit”模板为知识兔的扫描
5、“Enable schedule”是在Nexpose一个独特的功能,它分享了基于计划的审核。它允许你设置一个起始日期和时间,以及扫描的时间,如果您使用的是常规的审计,那么安全审计这是一个完美的功能,完成设置后“Scan Setup”,点击“Next.”
6、接下来的配置是“Credentials Listing”,基本上,在这里知识兔可以执行基于系统用户名和密码证书扫描,对于Windows系统,知识兔必须给予中小企业SMB帐户凭据,Linux 系统,知识兔必须给SSH凭证。在这里知识兔不给予任何凭据,以便只跳过它,然后单击“Next”
7、“Web Applications”不需要在这里设置,所以点击“Next”即可
8、接下来的配置是有关组织的,而知识兔将要进行脆弱性评估的信息,Nexpose将使用此信息在报告中,填写表格或跳过它,然后单击“Next”
9、最后一个配置为“Access Listing”如果有多个Nexpose控制台用户,知识兔可以设置用户权限以访问此站点。单击”Save”,将保存配置
10、完成以上设置之后,知识兔可以看到网站列表,知识兔创建了网站,添加Oscorp公司并准备扫描。点击“Scan”按钮,在右侧有一个播放按钮,如下图所示:
11、Nexpose将在一个新窗口提示开始一个新的扫描。在这里,知识兔能看到知识兔的目标IP地址,点击“Start now”按钮
12、在“Discovered Assets”中,知识兔可以看到知识兔的目标IP的系统名称和操作系统正在运行,一旦扫描完成后,知识兔可以在这里看到“Assets Listing”,知识兔已经看到“Assets by Operating System”,Nexpose按操作系统列出了所有assets以及所有安装在目标IP的软件,如下图所示:
13、点击“Vulnerabilities”选项卡,查看所有的漏洞
第一个图标意味着容易受到恶意软件的攻击;第二个是metasploit可以利用的;第三个是已发布的漏洞。单击“M”图标即可查看所对应的漏洞以及解决方案。
14、最后,知识兔将进入报告部分,单击“Reports”选项卡,给一个报告名字,并选择一个报告模板类型,选择好报告格式,然后选择“sites”,从“Select Report Scope”这里,知识兔选择知识兔Oscorp公司的站点,然后单击“Done”即可完成报告
>下载仅供下载体验和测试学习,不得商用和正当使用。
下载体验