Nexpose漏洞扫描工具

推荐Nexpose漏洞扫描工具 <<学习笔记>>

它和Metasploit都是Rapid7的产品，所以由Nexpose所扫描的漏洞会直接告诉你如何用MSF搞定

没错，我就是懒

下面直接开始操作……

下载与安装

首先进入下载页面

接下来需要企业的邮箱才能注册

除了这个企业邮箱，其他的可以随便填！！！

下载好后，直接导入虚拟机启动 CLI默认登录账号：

​ User: nexpose Password: nexpose

第一次登录是需要修改默认密码，密码复杂性要求较高，至少14为字符长度，同时包含大小写英文、数字和符号。

可以手工配置IP地址哦,因为其默认是DHCP的

/etc/network$ ca interfaces

ifconfig上显示IP

Nexpose的Web界面登录地址为3780端口 注意是https

以上是在初始化，等…..我等了很久

Web界面默认的登录账号:

User: nxadmin

Password: nxpassword

然后会要求你重设密码，随便设个

最后输入激活码就可以进入主页了(激活码会发到你之前的企业邮箱上)

Nexpose的扫描可以得出：

• 网络中通过策略合规性检测的设备的百分比。
• 设备兼容哪些策略。
• 设备不兼容哪些策略。
• 如果设备没有通过某个策略的合规性检测，到底是策略中的哪个规则没有符合。

Nexpose的生成报告:

Nexpose可以生成非常漂亮的报告，也能生成XML、CSV或者数据库格式的报告。

Nexpose可以生成site相关的报告，也可以为指定生成报告。

Nexpose的报告模板可以分为两大类：

• Document templates——这种类型的报告是可读的，包含设备和漏洞的信息。支持Text、PDF、PTF和HTML格式，阅读起来方便。
• Export templates——这种类型的报告用于将扫描的数据与外部的系统集成。支持XML、CSV和数据库格式的到处。

每个大的分类中还细分了很多的报告模板，每个模板在配置过程中都能看到相关介绍。

对自己虚拟机使用扫描(Nexpose和Msf一起使用)

输入目标IP

选择模块，此处默认

最后运行

开始扫描

以上是扫描得到的信息，点击IP地址

得到以上信息，一系列漏洞

也可以点下资产康康

往下面康康

点击第一个MSF的图标

这个模块标志的右边显示的是复现难度，无所谓了，不过一般肯定是选简单的啦！

换个经典漏洞复现,再次点击这个link，传送到一个页面

照着介绍使用