Web漏洞扫描神器Nikto使用指南

最新推荐文章于 2024-03-18 09:32:08 发布
最新推荐文章于 2024-03-18 09:32:08 发布
阅读量1.6w 收藏 168
点赞数 26
分类专栏: 工具 学习 文章标签: Web漏洞扫描 Nikto使用教学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liver100day/article/details/121392509
版权
学习 同时被 2 个专栏收录
59 篇文章 14 订阅
订阅专栏
工具
17 篇文章 7 订阅
订阅专栏

文章目录

工具简介

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。但其软件本身并不经常更新,最新和最危险的可能会检测不到。

工具下载链接

官方网站:https://cirt.net/Nikto2

Github源码:https://github.com/sullo/nikto

nikto安装

推荐使用Kali进行安装,Kali默认已经安装Nikto

apt-get update    #更新nikto
apt-get install nikto   #安装nikto

Docker容器安装:

git clone https://github.com/sullo/nikto.git
cd nikto
docker build -t sullo/nikto .
Call it without arguments to display the full help
docker run --rm sullo/nikto
Basic usage
docker run --rm sullo/nikto -h http://www.example.com
To save the report in a specific format, mount /tmp as a volume:
docker run --rm -v $(pwd):/tmp sullo/nikto -h http://www.example.com -o /tmp/out.json

源码安装
Nikto使用Perl语言编写运行,若需要源码安装,请提前安装Perl语言环境

wget https://github.com/sullo/nikto/archive/master.zip

使用unzip进行解压缩,并开始安装即可

unzip master.zip
cd nikto-master / program
perl nikto.pl

如果执行时遇到SSL支持错误,需要执行apt install libnet-ssleay-perl安装SSL支持。

nikto基础语句

通过 h 参数来查看 nikto 的参数说明,但h参数只能查看部分常用的参数

nikto -h

在这里插入图片描述
若需要查看更详细的帮助信息,可输入以下语句

man nikto

nikto 是通过各个插件进行扫描的,可以通过 - list-plugins 来查看

nikto - list-plugins

在这里插入图片描述
nikto 可以通过 - V 参数来确定其版本以及每个插件的版本,在开始扫描前需确保 nikto 是最新版
如果不是,可通过 update 参数来进行数据库更新和插件的更新, V 需要大写

nikto -V

在这里插入图片描述
对目标进行扫描,参数是 host,host 后可跟 ip 地址,也可跟域名 url 的形式

nikto -host http://172.168.1.105

在这里插入图片描述

指定端口进行扫描

nikto默认扫描会目标80端口,http协议,我们可以控制参数使得nikto对目标https协议,443端口进行扫描,并检查 ssl 一些常见的问题

nikto -host http://172.168.1.105 -ssl -port 443

在这里插入图片描述

指定目录进行扫描

有时候我们只需要扫描网站下的某个子目录,使用-c 参数指定扫描的目录,使用-c all 可进行目录爆破,并扫描

nikto -host http://192.168.1.7 -c /dvwa

在这里插入图片描述

多目标扫描

nikto支持多个目标进行扫描,将多个地址写入到文本中,通过- host参数+文本的方式即可统一进行扫描

nikto -host list.txt

在这里插入图片描述

其他功能

扫描结果输出

Nikto之所以实用,是因为它可以将扫描结果通过下列四种格式对扫描结果进行输出
在这里插入图片描述
以输出html文件格式举例,具体命令如下:

nikto -host http://www.example.com -o result.html -F html

在这里插入图片描述

Nikto扫描交互参数

Nikto 在执行命令行扫描过程中提供一些操作,可以了解扫描的一些进度信息,详细参数如下:

参数执行效果
空格报告当前扫描状态
v显示详细信息(verbose) 再按一次V继续扫描
d调试信息(及其详细信息)
d调试信息(及其详细信息)
e显示错误信息
p显示扫描进度
r显示重定向信息
c显示cookie
a身份认证过程显示出来
q退出
N扫描下一个目标
P暂停扫描

IDS 躲避

nikto 在扫描过程中也可以使用它自带的 ids 躲避规则,参数是 - evasion,nikto 提供了八种躲避规则,通过 man 手册可查看详细信息
在这里插入图片描述

数字执行效果
1随机的 url 编码
2只选择路径
3提前结束 url
4优先考虑长随机字符串
5参数欺骗
6使用 tab 作为命令分隔符
7使用变化的 url
8使用 windows 路径分隔符。

使用方法直接 evasion 后跟序号即可
nikto -host https://www.baidu.com -ssl -port 443 -evasion 123456
在这里插入图片描述
使用 ids 躲避规则的123456 条对百度进行了扫描

使用代理扫描

扫描目标时,部分目标部署了防护设备,为避免暴露 ip可以使用代理进行扫描,nikto 支持设置代理,参数是 - useproxy。在使用时需要配合其他代理工具(比如proxychains)使用

nikto -h https://www.baidu.com -useproxy http://127.0.0.1:1080

后言

nikto 和 awvs,appscan 类似,一般是在渗透的前期阶段使用,对目标进行信息搜集,nikto 会搜集服务器的一些信息和一些可能存在的问题,对后期的渗透测试会有很大的帮助。

最近一直在学习,但是学习的东西很多很杂,于是便把自己的学习成果记录下来,便利自己,帮助他人。希望本篇文章能对你有所帮助,有错误的地方,欢迎指出!!!喜欢的话,不要忘记点赞哦!!!

liver100day
关注
  • 26
    点赞
  • 168
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
网站漏洞扫描
06-23
当前web已经在企业内网,电子商务,综合信息化中得到广泛应用,越来越多的企业都将应用架设在web平台上,这也引发了严重的安全问题。事实上,根据调查,信息安全攻击有75%发生在web应用层而非网络层面上,60%的web站点都相当脆弱,易受攻击。
使用Nikto扫描网站漏洞
CHK的博客
03-16 8780
Nikto简介 Nikto是一个简单的开源Web服务器扫描程序,可以检查网站并报告它发现的可能用于利用或破解网站的漏洞。此外,它是业界使用最广泛的网站漏洞工具之一,并且在许多圈子中被认为是行业标准。 虽然这个工具非常有效,但它根本不是隐秘的。任何具有入侵检测系统或其他安全措施的站点都将检测到它正在被扫描。最初设计只是用于安全测试,并不在意隐形问题。 【Nikto-百度百科】 Nikto...
Nikto工具使用指南
Ays.Ie的博客
03-05 1350
该篇讲述了Nikto使用指南
Nikto: 快速、高效的Web服务器安全扫描工具
最新发布
gitblog_00041的博客
03-18 417
Nikto: 快速、高效的Web服务器安全扫描工具 项目链接 Nikto 是一个开源的 Web 服务器安全扫描工具,用于检测 web 应用程序和服务中的漏洞和不安全配置。它支持多种协议(如 HTTP/HTTPS),并提供了丰富的插件以扩展其功能。 Nikto 能用来做什么? Web 漏洞检测: Nikto 可以自动扫描目标网站,寻找可能存在的漏洞,例如过时的软件版本、易受攻击的服务等。 配...
轻量级网页安全漏洞扫描工具-Wapiti
热门推荐
软件质量优化
01-22 2万+
Wapiti是一个开源的安全测试工具,可用于Web应用程序漏洞扫描和安全检测,可到http://sourceforge.net/projects/wapiti/下载。Wapiti是用Python编写的脚本,使用它需要Python的支持,也就是说要先安装好Python。Wapiti执行的是“黑盒”方式的扫描,也就是说直接对网页进行扫描,而不需要扫描Web应用程序的源代码。Wapiti
nikto使用教程
huike008的博客
08-17 315
简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息 perl nkito.pl –h 192.168.0.1 多端口扫描 Perl nikto.pl –h 192.168.0.1 –p 80,88,443 加代理扫描 Perl nikto.pl –h 192.168.0.1 –p 80 –u CGI扫描 -C参数只能放在后面,应该可以指定相对目录。 Perl...
Web漏洞扫描
m0_75056154的博客
04-04 1066
Xray是一款功能强大的安全评估工具,由多名经验丰富的一-线安全从业者呕心打造而成检测速度快、支持范围广、代码质量高、高级可定制、安全无威胁Xray支持多种漏洞检测,主要漏洞检测类型如下XSS跨站脚本攻击    SSRF跨站请求伪造命令、代码注入    ThinkPHP系列路径穿越    弱口令SQL注入    文件上传目录枚举    POC框架XML实体注入    CRLF注入其中POC框架默认内置Github.上贡献的POC,用户也可以根据需要自行构建。
Nikto使用方法
收集盒 Book box
12-06 2015
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 [email protected]:~# cd /pentest/web/nikto/ [email protected]:/pentest/web/nikto# ls docs nikto.conf nikto.pl plugins tem
Web服务器漏洞扫描(开源) nikto 2.14
03-29
这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以...
nikto:Nikto Web服务器扫描
04-28
NiktoWeb服务器扫描仪- 完整文档 正常运行: git clone https://github.com/sullo/nikto # Main script is in program/ cd nikto/program # Run using the shebang interpreter ./nikto.pl -h ...
Kali下ssh爆破以及nikto工具漏洞扫描-漏洞银行大咖周3 -屌丝绅士
01-26
来源:漏洞银行大咖面对面一周大咖秀3 作者:屌丝绅士
web端的在线漏洞扫描.
07-25
web端的在线漏洞扫描,
网站漏洞扫描工具(扫描漏洞)
08-13
用来扫描网站漏洞和后台网址用的,速度有点慢。
Nikto安全扫描工具
08-14
Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。 [email protected]:~# cd /pentest/web/nikto/ [email protected]:/pentest...
WEB安全扫描工具.mmap
08-03
WEB安全入门工具:nikto、vega、nmap、Metasploit、SQLmap等工具的用法,是入门及日常WEB安全测试的最常用工具。包含nmap、Metasploit的结合用法。 burpsuite全是界面截图,没有引入,用户可以在晚上搜索burpsuite...
nikto使用教程详解
lvwuwei的博客
05-15 1750
1:普通扫描 nikto -h 目标 实例: nikto -h 192.168.3.111 2:扫描指定端口 nikto -h 192.168.0.1 -p 443 对443端口的扫描 nikto -h 192.168.3.111 -p 443 3:目录猜解 -C 指定CGI目录 –all表示猜解CGI目录 nikto -h 192.168.3.111 -C all 4:漏洞扫描 -T选项包含很多小选项 –T 9表示扫描SQL注入漏洞 -T选项包含的小选项解释: 0 检查文件上传页面 1 检查web日志 2
网络安全-网站漏洞扫描
weixin_48137911的博客
04-21 1537
网站漏洞扫描器是用来扫描对方网站可能存在哪些漏洞的工具,我们可以借助网站漏洞扫描器来当作辅助作用去检测对方网站的漏洞。至于咋用,漏扫,自己摸索一波就会玩了的了,也是输入域名就可以开始自动运作的(可以用浏览器的翻译功能去看,都很简单的)先说缺点-这玩意简称漏扫,你一旦发送,会有大量的数据包发往目标网站,一些小一点的你一发可能就爆了。安装这个exe一直点下一步就行了,然后输入一个邮箱和密码,和确定密码。然后邮箱和密码就是刚刚设置的那个,这个是基于本地的,没有网络也可以用。右键图标,打开文件位置,去里面解压。
Nikto 网页服务器扫描
无痕的博客
12-13 1308
Nikto 网页服务器扫描
nikto使用说明
weixin_34388207的博客
08-07 204
Nikto是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI及其他问题,它可以扫描指定主机的WEB类型、主机名、特定目录、COOKIE、特定CGI漏洞、返回主机允许的http模式等等。它也使用LibWhiske库,但通常比Whisker更新的更为频繁。Nikto是网...
kali web漏洞扫描
06-08
Kali Linux 是一款常用于渗透测试和安全评估的 Linux 操作系统,它自带了众多的漏洞扫描工具,其中包括一些专门用于 Web 漏洞扫描的工具,例如: 1. Burp Suite:一款功能强大的 Web 渗透测试工具,支持代理、漏洞扫描、爬虫等功能。 2. OWASP ZAP:一款开源的 Web 应用程序安全测试工具,可以自动化扫描 Web 应用程序中的漏洞。 3. Nikto:一款开源的 Web 服务器扫描工具,可以扫描 Web 服务器上存在的安全漏洞。 4. Wapiti:一款开源的 Web 应用程序漏洞扫描器,支持自动化扫描和手动扫描。 5. Arachni:一款开源的 Web 应用程序漏洞扫描器,支持自动化扫描和手动扫描,并且可以生成详细的报告。 使用这些工具,可以对 Web 应用程序进行全面的漏洞扫描,帮助发现潜在的安全漏洞并及时修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值