web漏洞扫描神器 nikto

admin · 发表于 2020-5-6 21:16:34

[md]nikto是一款著名的web漏洞扫描神器，支持xss sql注入 web目录爬行敏感目录信息收集等常用的web漏洞的扫描和发现。
![nikto][1]
### nikto基础使用
**扫描一个主机**
```
nikto -h 192.168.123.66
```
**扫描指定端口**
```
nikto -h 192.168.123.66 -p 80
```
**扫描保存结果**
```
nikto -h 192.168.123.66 -p 80 -o bbskali.html
```
![nikto扫描][2]
**扫描结果**
![][3]

### sql注入漏洞

在后台登录页面发现sql注入漏洞，利用burp抓包，并进行sql注入。
![][4]
burp抓包
![][5]
利用sqlmap获取数据库
![sqlmap][6]

### 提权

  [1]: https://blog.bbskali.cn/usr/uploads/2020/05/49362204.jpg
  [2]: https://niu.bbskali.cn/5976703f3072b572d4402222b7295d35-blogsy
  [3]: https://niu.bbskali.cn/52562b9f659512ad6fd751e713146fe1-blogsy
  [4]: https://niu.bbskali.cn/7c3d669c16d20728199afeec9fc75ee4-blogsy
  [5]: https://niu.bbskali.cn/e11d7b4e7e56c0f9d36ed9823d9d1b27-blogsy
  [6]: https://niu.bbskali.cn/905447798a7be3dce167db47146f3aba-blogsy
[/md]

朽木自雕 · 发表于 2020-5-13 18:47:24

看不懂能不能做出详细学习谢谢大佬