一、安装Goby并使用goby扫描公共靶场
1、概述
Goby是⼀款基于⽹络空间测绘技术的新⼀代⽹络安全⼯具,它通过给⽬标⽹络建⽴完整的资产知识库,进⾏⽹络安全事件应急与漏洞应急。
2 、安装
- 更新软件:官网下载软件(gobysec.net),将云盘下载的软件替换原软件。
- 配置hosts,右键管理员身份运行add_hosts。
- 安装完成即可启动软件。
3、使用
- 点击扫描开始配置扫描参数,设置完参数点击开始扫描,即可自动扫描。
- 扫描完成,会显示资产、漏洞等信息。点击即可查看详情。
二、最新版burp的主动扫描使用
1、更新最新版的Burp
- 官网下载最新版本:portswigger.net/burp/releas…
- 打开旧版本的Burp安装目录,替换旧文件。注意,替换文件时候要保持文件名一致。
- 打开Brup检测是否安装成功。
2、Brup主动扫描
- 新建扫描并配置扫描参数,完成设置点击扫描即可开始扫描。
四、Brup常用模块
1、代理模块:拦截、查看和修改 HTTP/HTTPS 请求与响应。
2、Intruder模块:可以进行暴力破解。将通过代理抓取的数据包发送到该模块,进行暴力破解、payload管理等。
提供四种攻击模式,适应不同测试需求:
Sniper:使用单个payload集,将每个payload逐个插入每个位置。
Battering ram:使用单个payload集将相同的payload同时放到所有位置。
Pitchfork:为每个位置分配一个payload集。
Cluster bomb:为每个位置分配一个payload集,通过排列组合来爆破。
3、Repeater模块:手动修改http/https请求报文。将代理模块抓到的请求报文发送到Repeater模板后可以修改数据包。
五、Burp安装明动插件
- 安装
- 配置使用
