Redian新闻
>
OpenVAS的安装、使用及实战

OpenVAS的安装、使用及实战

公众号新闻

简介

OpenVAS是类似Nessus的综合型漏洞扫描器,可以用来识别远程主机、Web应用存在的各种漏洞。Nessus曾经是业内开源漏洞扫描工具的标准,在Nessus商业化不再开放源代码后,在它的原始项自中分支出openVAS开源项目。经过多年的发展,openVAS已成为当前最好用的开源漏洞扫描工具,功能非常强大,甚至可以与一些商业的漏洞扫描工具媲美。OpenVAS使用NVT(Network Vulnerabilty Test网络漏洞测试)脚本对多种远程系统(包括Windows、Linux、UNix以及Web应用程序等)的安全问题进行检测。

环境

操作系统:kali

软件:msf

openvas的组件构成

1、服务器层组件:

• openvas-scanner(扫描器):负责调用各种漏洞检测插件,完成实际的扫描操作。

• openvas-manager(管理器):负责分配扫描任务,并根据扫描结果生产评估报告。

  openvas-administrator(管理者):负责管理配置信息,用户授权等相关工作。

2、客户层组件:

• openvas-cli(命令行接口):负责提供从命令行访问OpenVAS服务层程序。

• greenbone-security-assistant(安装助手):负责提供访问OpenVAS服务层的Web接口,便于通过浏览器来建立扫描任务,是使用最简便的客户层组件。

• Greenbone-Desktop-Suite(桌面套件):负责提供访问OpenVAS服务层的图形程序界面,主要允许在Windows客户机中。

安装OpenVAS(失败)

不要照着下面的做。。。原因可能是我的kali版本太新。

更新源

apt-get update

apt-get install openvas

或者

apt install openvas -y

依赖出问题

如果没出问题就不用进行下面的步骤了

移除模块冲突依赖

apt-get remove libgcc-9-dev mitmproxy

移除依赖

删除自动下载的无用库,再次运行添加 --fix-missing选项

apt autoremoveapt-get remove libgcc-9-dev mitmproxy --fix-missing

 重新安装openvas

apt-get -y install openvas

从图形化界面也可以找到了,漏洞分析->OpenVAS

安装失败,只能安装最新版了。。。

安装GVM

OpenVAS改名为GVM了,通过以下命令进行一些更新。

apt updateapt-get updateapt dist-upgrade

通过以下命令进行gvm的安装

apt-get install gvm -y

设置

gvm-setup

apt-get install postgresql-13pg_dropcluster 13 main --stoppg_upgradecluster 12 main

再次进行设置,注意保存长串密码。

漫长的等待...

使用命令

gvm-start

打开页面

可以使用命令

gvm-check-setup

来检查是否安装成功,会分8步进行检查

使用GVM

更新NVT特征库

使用命令

gvm-feed-update

来更新NVT特征库

以后也要常更新

WEB页面

登录

想改密码,可以使用命令

runuser -u _gvm -- gvmd --user=admin --new-password=123456

 我就直接用浏览器去记住了

报告生成格式

Configuration->Report Formats

报告格式包含XML、CSV等。点击蓝色链接可看到详细信息,点击左上角放大镜可看更多信息。

内置扫描配置方案

Configurationg->Scan configs

点击蓝色链接,查看详细信息

点击放大镜查看具体信息

包括扫描、NVT会做些什么,以及权限等。可以看到会进行PostgreSQL、主机的探测等

实战

新建任务

Scans->Tasks

点击上图圈红图标->New Task

或者快速开始,点击魔法棒图标->Task Wizard,输入扫描主机主机名或ip即可。

 服务器和网关也同样进行扫描。

等待一会儿,等到Status为Done时,就可以导出报告了

漏洞报告

www.dvssc.com

 选择上图下载按钮,下载XML、CSV等格式的报告。

service.com

同样下载报告

gate.dvssc.com

同样下载报告

漏洞整理

xml中内容样式如下:

csv格式报告中部分内容如下:

同样,包含ip、主机名、端口号、漏洞等级、CVE编号、探测方法、影响、解决办法等

链接:https://blog.csdn.net/lady_killer9/article/details/112287791

(版权归原作者所有,侵删)


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
AIGC 浪潮下,如何推动企业应用及落地?远离恶客 房东慎查身分、信用及收入《定风波》瑾沐篇(34):父慈子孝暑期实习还早?2023暑期实习时间线梳理及实习岗位推荐几种常见扫描工具的安装与使用国风兰亭序天丝套装、Dior、三宅同款连衣裙、希腊轻奢腋下包、提花夏日西装、烫钻设计师短袖,1折起!90+全新福利来报到!中信智库武超则:人工智能有十大发展趋势 涵盖技术、应用及安全祖母绿连衣裙、国风天丝旗袍套装、希腊轻奢腋下包、舒适高跟鞋、提花夏日西装、烫钻设计师短袖,1折起!90+全新福利来报到!涉及实体经济、房地产…央行重要货币会议内容发布,释放哪些信号?7月 · 北京 | 快速提升实战能力,“刑事合规业务实战课程”启动招生Carter's OshKosh全场童装、泳装、童鞋等3折起+额外9折!Hélène Binet:光的哲学家“IPO银行流水”核查的要点及实务案例分析AIGC浪潮下,如何推动企业应用及落地?|直播预约聚焦提供优化能源生产、使用效率的工业认知AI解决方案,「邦定智慧」获千万元Pre-A轮融资|早起看早期别 . 情深入探究K8s的安全配置资源Secret!高志华课题组在Current Biology发文揭示小胶质细胞在调控全身麻醉中的作用及其相关分子机制“我最后悔的事,面试Freshfields的前2个小时,没有看UBS的新闻”Invitation | Executive MBA Open Day - Hong Kong请问这棵树得了什么病?中智咨询:2023年应届生招聘和薪酬管理及实习生调研报告核酸检测如何更好地蒸馏ChatGPT模型能力:Lion闭源大型语言模型的对抗性蒸馏模型原理及实验工作介绍收藏!6类常用降眼压药物副作用及禁忌每日原则:收入要比支出多。这会给你带来自由、安全感,以及实现目标的力量。美国优胜美地国家公园,人生境界CREATOR制造、使用工具,实现LLM「自我进化」过分!多伦多Shoppers的这款“粉红税”产品:承诺马上降价!【直播讲座】权威解析Vericant维立克在美国私校申请中的作用及如何准备!“IPO总额法和净额法”的判定原则及实务案例分析Opera推出Opera One,将取代Opera浏览器请查收使用OpenAI的Whisper进行语音识别的攻略【前瞻 Prospect Series 01】Generative AI的产业现状、技术应用及发展趋势“IPO对赌协议”会计处理及实务案例分析
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。