AWVS 网页漏洞扫描工具安装使用（Linux）

Posted 2021-05-23 Goodric

AWVS（ Acunetix Web Vulnerability Scanner）

是一款知名的Web网络漏洞扫描工具，通过网络爬虫测试你的网站安全，检测流行安全漏洞。

安装包是下载这个文件 ：acunetix_trial.sh （网上应该比较多）
破解文件是： patch_awvs
（GitHub 下载地址：patch_awvs文件下载

我这里演示的是在 kali 机下安装，如果在 Ubuntu 下安装据说还要下载一下依赖包。
把安装文件和破解文件的压缩包复制到 kali 的文件夹下。
（有的说只能拖到文件夹下，但是我这里拖不进去，只能先拖在桌面，再放进文件夹，总之最后在文件夹内就行）
在文件夹内右键压缩包解压出来，就可以把原来的 zip 压缩包删除了。

在文件夹内右键在这里打开终端。

cd acunetix_trial.sh 进入安装文件夹，看看里面的文件，用命令：“ chmod 777 文件名 ”给文件分配权限，之后在看文件就变成绿色了，即成功分配了权限。

./acunetix_trial.sh 进行安装文件，提示要 root 权限，命令 sudo su 输入密码进入管理员权限。再执行安装命令进行安装。

等待安装，会出现同意证书的验证，输入 yes 。

然后要进行设置用户名，邮箱和密码，根据自己来设置，后面进行登录需要用到邮箱和密码。
可以看到密码设置有限制，至少要一个数字、一个大写、一个小写、一个特殊字符。

然后就成功了，提示 visit 访问 https://kali:13443 ，url 中的 kali 就是刚刚设置的用户名。
但是访问 “kali” 是换成这台虚拟机的 IP ，用命令 ifconfig 或 ip a 查看自己的 IP 。

如我这里在浏览器访问 ：

https://192.168.226.128:13443

会出现警告，提示网页不安全，直接接受风险并继续访问。
有 IP 的话是可以在物理机上访问，不过我这里物理机上无法访问，关了防火墙也没用，具体原因不清楚。（在虚拟机的浏览器访问也没什么）

进入之后，用设置的邮箱和密码进行登录。

可以先看一下 license 证书，刚安装好显示是试用，14 天的期限。

——
——

破解

把破解文件 patch_awvs 复制到目录 /home/acunetix/.acunetix_trial/v_190325161/scanner 下
（自己在文件管理里应该是找不到这个文件，可能被隐藏了，我们只要执行命令就行。）
执行：

cp patch_awvs /home/acunetix/.acunetix_trial/v_190325161/scanner

同样也给破解文件分配一下权限：chmod 777 patch_awvs

./patch_awvs 执行文件。
出现如下图的样子即激活成功了。

刷新一下刚刚的网页，可以看到已经破解成功了。

关闭一下自动更新吧，防止更新后证书失效。

——
——

使用小测试

如果无法访问网址，可能是未开启服务。
开启服务：service acunetix_trial start
查看服务状态：service acunetix_trial status
状态未 active （running）表示已开启

在 targets 目标栏添加目标。

我这里用物理机里的 pikachu 靶场测试。
描述随便填。（根据自己）

扫描速度的选择，速度越慢，扫描会越仔细。
填写完点击左上角 save 保存。

点击 Advanced 那一栏，往下选择扫描引擎为主要安装。

还有其它的一些设置，根据扫描的不同要求设置不同。
比如站点是否需要登录 Site Login 、针对不同站点的扫描插件 AcuSensor （可以搜集到更多信息）等。

保存了设置之后。
点击 scan 开始扫描。
有三个选项需要选择，扫描类型、报告、时间表。

点击 Creat Scan 就开始扫描了，来到这个界面。
等箭头所示进度条拉满即扫描完成。

扫描结果得到的一些信息。

在漏洞栏可以看到扫描出来的漏洞，选择某个漏洞可查看详情并进行验证。

点击 Report 项可把扫描报告进行两种格式的下载。