Nessus - TryHackMe

Task 1 Introduction

Trình quét lỗ hổng Nessus ! Một máy quét lỗ hổng bảo mật! 

Nó sử dụng các kỹ thuật tương tự như Nmap để tìm và báo cáo các lỗ hổng, sau đó được trình bày trong một giao diện đồ họa đẹp mắt để bạn xem xét. 

Nessus khác với các máy quét khác vì nó không đưa ra các giả định khi quét, chẳng hạn như giả định ứng dụng web đang chạy trên cổng 80 chẳng hạn. 

Nessus cung cấp dịch vụ miễn phí và trả phí, trong đó một số tính năng được loại bỏ miễn phí để khiến bạn có xu hướng mua dịch vụ trả phí hơn. 

Giá của họ tương tự như Burp Suite, vì vậy trừ khi bạn có một số thay đổi dự phòng, mình sẽ chỉ sử dụng phiên bản miễn phí của họ. 

Bạn có thể xem các tùy chọn giá của họ tại đây: https://www.tenable.com/products/nessus

Task 2Installation

Mình sẽ cài đặt Nessus trên Local Kali VM.

Cảnh báo: Không cài đặt Nessus trên THM AttackBox. Nó sẽ không hoạt động, vì không có đủ dung lượng!

Các hệ điều hành khác sẽ không được đề cập trong hướng dẫn này, trong trường hợp đó, hướng dẫn cài đặt bạn có thể đọc link sau: https://docs.tenable.com/nessus/Content/GettingStarted.htm

Bước 1: Đăng ký một tài khoản nhận key 

Bạn có thể dùng mail dùng 1 lần để đăng ký tài khoản sử dụng. Truy cập https://www.tenable.com/products/nessus/nessus-essentials và đăng ký tài khoản.

Bước 2: Tải phiên bản nessus cho hệ điều hành bạn muốn sử dụng.

Ở đây mình chọn cho kali nhé. Có thể phiên bản sẽ khác không giống trong ảnh vì nó luôn cập nhật mà

Sau khi tải về, bạn truy cập đến thư mục chưa tệp tin tải về.

Bước 3: Thực hiện cài đặt
Sử dụng lệnh cài đặt:

sudo dpkg -i package_file.deb

Hãy nhớ thay thế package_file.deb bằng tên tệp bạn đã tải xuống.

Bước 4: Khởi động dịch vụ

Sử dụng lệnh: 

sudo /bin/systemctl start nessusd.service

Bước 5: Truy cập dịch vụ

Mở Firefox và truy cập URL sau:

https://localhost:8834/

Bạn có thể được nhắc với một cảnh báo rủi ro bảo mật.

Nhấp vào Advanced... -> Accept the Risk and Continue

Bước 6: Thiết lập ban đầu cho nessus

Tiếp theo, Chọn tùy chọn Nessus Essentials.

Nhấp vào nút Skip sẽ đưa bạn đến một trang mà bạn sẽ nhập mã mà bạn nhận được trong email từ Nessus.

Bước 7: Thiết lập người dùng

Điền vào các trường Tên người dùng và Mật khẩu. Đảm bảo sử dụng mật khẩu mạnh!

Bước 8: Chờ cập nhật plugin

Quá trình này sẽ mất một chút thời gian, điều này sẽ phụ thuộc vào kết nối internet của bạn và phần cứng được gắn vào máy ảo của bạn.

Nếu thanh tiến trình dường như không di chuyển, điều đó có nghĩa là bạn không có đủ dung lượng trên máy ảo để cài đặt.

Bước 9: Login vào nessus sau khi cài đặt

Bước 10: Màn hình giao diện nessus sau login

Task 3 Navigation and Scans

Màn hình plugin dùng để quét

Quét tổng quan về hệ thống chọn Basic Network Scan:

Quét thông tin lỗ hổng về website chọn Web Application Tests: