Nessus虚拟机安装
为什么要用虚拟机,配置方便,虚拟机下载下来后直接导入即可使用。而且可以随时保存快照,玩坏了也可以随便复原。唯一的缺点就是文件比较大,下载较慢。(百度网盘下载速度太慢可以私戳我)
下载安装
在网上找到的Nessus虚拟机资源,还是特别好用的。
链接:https://pan.baidu.com/s/1sj6vk9Q1pb5qVZQfB1DtYA
提取码:wk2j
得到四个文件
- 压缩文件 part1
- 压缩文件 part2
- 插件更新的教程图片
- 使用说明
解压缩的时候只需要解压part1,part2会跟着一块解压
下载后启动VMware,点击文件,再点击打开
打开解压后的ovf文件
导入一段时间。。。
导入后设置两块网络适配器,一个设置为NAT 一个设置为仅主机模式
启动虚拟机,登录账号为root,密码为toor
启动Nessus服务
登录系统后,输入ifconfig查看ens34的IP
如上图我的ens34这块虚拟网卡的IP为192.168.110.10
打开浏览器访问https://192.168.110.10:8834/,注意是https而不是http。
初始化一段时间后,就可以看到登录界面:
登录账号密码均为Nessus
登录成功的界面如下
接下来就可以开始愉快的扫描了。
给虚拟机拍个快照,方便恢复。
让Nessus虚拟机和kali在同一个网段
我的kali只配置了一块虚拟网卡,网络适配器选择的是NAT连接;而Nessus虚拟机默认配置了两块虚拟网卡,一块网卡是NAT连接,另一块是仅主机模式。NAT模式对应的是ens33,就是ifconfig命令输出的结果中的。而ens33,虚拟机作者已经固定了IP并且不是自动分配IP了。
所以我们要设置一下。
vim 编辑一下/etc/netplan/50-cloud-init.yaml
修改为以下结果:
退出保存即可。
再init 6 重启一下虚拟机,ens33就可自动分配IP,网段也和kali虚拟机的那块网卡在同一个网段了。
Nexpose 虚拟机安装
Rapid7 Nexpose是一款面向大型网络组织的安全风险智能解决方案。
这次安装已经成功了,但是激活的时候,一直遇到网络问题,几天了都没有解决。网上也有这种情况。要是以后有解决方法,我会在发出来。
文章还是值得看的,至少有个免费的企业邮箱注册。
Nexpose主动支持整个漏洞管理生命周期,包括发现,检测,验证,风险分类,影响分析,报告和缓解。
-
Nexpose Windows / Linux:
https://www.rapid7.com/info/nexpose-trial/此款是 Nexpose高级版InsightVM,Nexpose的全部功能为期30天。
-
Nexpose虚拟机版:
https://www.rapid7.com/info/nexpose-virtual-appliance/Nexpose 的全部功能 为期30天的试用,Rapid7 Nexpose虚拟设备试用版是Nexpose的全功能虚拟机版本,可用于试用。您可以快速轻松地部署它。
-
Nexpose社区版 Windows / Linux:
https://www.rapid7.com/info/nexpose-community/免费的Nexpose社区1年试用版。
这里我使用Nexpose虚拟机版本。
注意:以上三个下载链接都需要邮箱验证,且邮箱必须是独立的个人、学校、企业、机构等域名邮箱;第三方邮箱均无效!(例如:新浪、网易、126、腾讯等都视为无效)。邮箱必须有效,否则收不到许可证密钥(key)。
注册企业邮箱
首先要一个企业邮箱,用来接受注册码,Nexpose注册那里需要企业邮箱
选择国内的免费企业邮箱例如sina,但是要手机验证注册,显然不是我们想要的,不考虑。
选择外国的企业邮箱,啥都不用,例如 zoho邮箱。
邮箱注册地址:https://www.zoho.com.cn/mail/signup.html
进入后的界面:
备用邮箱地址可以填自己常用的邮箱,以便用来找回zoho邮箱的密码。
注册成功后就可以进入登录后的界面。注意,邮箱地址是@zoho.com.cn,而非@zoho.com
注册nexpose来获取下载链接和KEY
完成上面的zoho邮箱注册就可以点击下面的链接来注册nexpose了
https://www.rapid7.com/info/nexpose-virtual-appliance/
除了邮箱信息,其他都可以随便填写。
点击SUBMIT后,就可以看到相关提示信息了
图中的download,就是下载nexpose虚拟机的地址,并且它告诉我们激活密钥已经发送到我们之前填的注册邮箱上了。(下载的网址在国外,下载速度比较慢,建议白天下载,晚上下载尤其慢)
收到的邮件内容:
运行虚拟机
启动VMware,点击文件,再点击打开
选择刚刚下载好的ova文件
导入一会,再修改一下内存大小和网络适配器
内存大小视主机内存大小而定
启动虚拟机,登录账号密码均为:nexpose
登录成功后会要求修改密码,密码设置规则还挺麻烦的,我设置的密码为:QWERzxcvaaa123@
进入后ifconfig命令查看虚拟机IP
物理主机浏览器访问https://IP:3780,会需要一段时间初始化。
初始化好后登录web控制台,账号为:nxadmin,密码为:nxpassword
又要修改控制台的密码:
用户名还是nxadmin,我将密码修改为password
输入邮箱中的KEY进行激活
好吧,一直激活失败!!就这样吧。
漏洞扫描的第一部分就到这里。后续会以Nessus漏洞扫描器为主,配合metasploit使用。Nessus特别好用,很多大公司都在使用。
感谢大家的阅读~
