Nessus虚拟机安装

为什么要用虚拟机，配置方便，虚拟机下载下来后直接导入即可使用。而且可以随时保存快照，玩坏了也可以随便复原。唯一的缺点就是文件比较大，下载较慢。（百度网盘下载速度太慢可以私戳我）

下载安装

在网上找到的Nessus虚拟机资源，还是特别好用的。
链接：https://pan.baidu.com/s/1sj6vk9Q1pb5qVZQfB1DtYA
提取码：wk2j

得到四个文件

• 压缩文件 part1
• 压缩文件 part2
• 插件更新的教程图片
• 使用说明

解压缩的时候只需要解压part1，part2会跟着一块解压

下载后启动VMware，点击文件，再点击打开

打开解压后的ovf文件

导入一段时间。。。

导入后设置两块网络适配器，一个设置为NAT 一个设置为仅主机模式

启动虚拟机，登录账号为root，密码为toor

启动Nessus服务

登录系统后，输入ifconfig查看ens34的IP

如上图我的ens34这块虚拟网卡的IP为192.168.110.10

打开浏览器访问https://192.168.110.10:8834/，注意是https而不是http。

初始化一段时间后，就可以看到登录界面：

登录账号密码均为Nessus

登录成功的界面如下

接下来就可以开始愉快的扫描了。

给虚拟机拍个快照，方便恢复。

让Nessus虚拟机和kali在同一个网段

我的kali只配置了一块虚拟网卡，网络适配器选择的是NAT连接；而Nessus虚拟机默认配置了两块虚拟网卡，一块网卡是NAT连接，另一块是仅主机模式。NAT模式对应的是ens33，就是ifconfig命令输出的结果中的。而ens33，虚拟机作者已经固定了IP并且不是自动分配IP了。
所以我们要设置一下。

vim 编辑一下/etc/netplan/50-cloud-init.yaml

修改为以下结果：

退出保存即可。

再init 6 重启一下虚拟机，ens33就可自动分配IP，网段也和kali虚拟机的那块网卡在同一个网段了。

Nexpose 虚拟机安装

Rapid7 Nexpose是一款面向大型网络组织的安全风险智能解决方案。

这次安装已经成功了，但是激活的时候，一直遇到网络问题，几天了都没有解决。网上也有这种情况。要是以后有解决方法，我会在发出来。

文章还是值得看的，至少有个免费的企业邮箱注册。

Nexpose主动支持整个漏洞管理生命周期，包括发现，检测，验证，风险分类，影响分析，报告和缓解。

1. Nexpose Windows / Linux：
   https://www.rapid7.com/info/nexpose-trial/

   此款是 Nexpose高级版InsightVM，Nexpose的全部功能为期30天。

2. Nexpose虚拟机版：
   https://www.rapid7.com/info/nexpose-virtual-appliance/

   Nexpose 的全部功能 为期30天的试用，Rapid7 Nexpose虚拟设备试用版是Nexpose的全功能虚拟机版本，可用于试用。您可以快速轻松地部署它。

3. Nexpose社区版 Windows / Linux：
   https://www.rapid7.com/info/nexpose-community/

   免费的Nexpose社区1年试用版。

这里我使用Nexpose虚拟机版本。

注意：以上三个下载链接都需要邮箱验证，且邮箱必须是独立的个人、学校、企业、机构等域名邮箱；第三方邮箱均无效！（例如：新浪、网易、126、腾讯等都视为无效）。邮箱必须有效，否则收不到许可证密钥（key）。

注册企业邮箱

首先要一个企业邮箱，用来接受注册码，Nexpose注册那里需要企业邮箱
选择国内的免费企业邮箱例如sina，但是要手机验证注册，显然不是我们想要的，不考虑。
选择外国的企业邮箱，啥都不用，例如 zoho邮箱。

邮箱注册地址：https://www.zoho.com.cn/mail/signup.html

进入后的界面：

备用邮箱地址可以填自己常用的邮箱，以便用来找回zoho邮箱的密码。

注册成功后就可以进入登录后的界面。注意，邮箱地址是@zoho.com.cn，而非@zoho.com

注册nexpose来获取下载链接和KEY

完成上面的zoho邮箱注册就可以点击下面的链接来注册nexpose了
https://www.rapid7.com/info/nexpose-virtual-appliance/

除了邮箱信息，其他都可以随便填写。

点击SUBMIT后，就可以看到相关提示信息了

图中的download，就是下载nexpose虚拟机的地址，并且它告诉我们激活密钥已经发送到我们之前填的注册邮箱上了。（下载的网址在国外，下载速度比较慢，建议白天下载，晚上下载尤其慢）

收到的邮件内容：

运行虚拟机

启动VMware，点击文件，再点击打开

选择刚刚下载好的ova文件

导入一会，再修改一下内存大小和网络适配器

内存大小视主机内存大小而定

启动虚拟机，登录账号密码均为：nexpose
登录成功后会要求修改密码，密码设置规则还挺麻烦的，我设置的密码为：QWERzxcvaaa123@

进入后ifconfig命令查看虚拟机IP

物理主机浏览器访问https://IP:3780，会需要一段时间初始化。

初始化好后登录web控制台，账号为：nxadmin，密码为：nxpassword

又要修改控制台的密码：

用户名还是nxadmin，我将密码修改为password

输入邮箱中的KEY进行激活

好吧，一直激活失败！！就这样吧。

漏洞扫描的第一部分就到这里。后续会以Nessus漏洞扫描器为主，配合metasploit使用。Nessus特别好用，很多大公司都在使用。

感谢大家的阅读~