基于Nessus v10.9.4从零搭建实战漏洞靶场：DVWA、骑士CMS与74CMS综合演练

1. 项目概述：从“知道”到“做到”的必经之路

在网络安全这个行当里待久了，你总会听到一个词：“空中楼阁”。它形容的是那些理论知识一套一套，但一上手实操就两眼一抹黑的状态。很多朋友学了各种漏洞原理、攻击手法，甚至能背出CVE编号，但真给他一个环境，让他去发现、验证、利用一个漏洞，却往往无从下手。这种脱节感，正是阻碍我们从一个“学习者”成长为“实战者”的最大障碍。而搭建一个属于自己的漏洞靶场，就是填平这道鸿沟最直接、最有效的方法。

这次，我们不谈虚的，就干一件实事：用业界公认的标杆级漏洞扫描器Nessus v10.9.4，配合最新的规则包，从零开始，亲手搭建一个可以反复“折腾”的实战漏洞靶场。Nessus的大名在安全圈如雷贯耳，它不仅仅是扫描工具，更是一个强大的漏洞验证与风险管理平台。通过它，我们可以系统性地将DVWA、骑士CMS、74CMS这些经典靶场里的漏洞（比如文件上传、XSS、水平越权）给“扫”出来，并理解其背后的风险评级、影响范围和修复建议。这个过程，远比单纯地在靶场界面上点几下“提交”要深刻得多。

这个项目适合谁？如果你是安全初学者，想摆脱纯理论学习的困境；如果你是运维或开发人员，想了解自家应用可能面临的风险；或者你已经是安全从业者，想建立一个标准化的内部验证环境——那么，跟着走一遍，你收获的将不仅仅是一个可用的靶场，更是一套发现问题、分析问题、验证问题的完整方法论。我们最终的目标，是让你告别对漏洞的模糊认知，建立起清晰、可复现的实战能力。

2. 核心工具选型与环境准备

2.1 为什么是Nessus v10.9.4？

在开始动手之前，我们必须搞清楚工具选型的逻辑。市面上扫描器很多，开源、商业的都有，为什么偏偏选择Nessus，而且是v10.9.4这个版本？

首先，Nessus是漏洞评估领域的事实标准。它的漏洞库（Plugin）极其庞大且更新迅速，背后是Tenable强大的安全研究团队在支撑。这意味着，你用Nessus扫出来的问题，其权威性和覆盖率是很多工具难以比拟的。它不仅能发现漏洞，更能提供详细的风险描述、解决方案、参考链接（CVE、CVSS评分等），这对于我们学习漏洞的完整上下文至关重要。

其次，版本v10.9.4是一个在稳定性、功能性和资源消耗上取得较好平衡的版本。它包含了现代化的用户界面、更高效的扫描引擎以及对最新协议和技术的支持。选择这个版本而非盲目追求“最新”，是为了避免成为新版本的“小白鼠”，确保整个搭建过程稳定可控。同时，v10.9.4的破解或激活方法（这里指获取评估版或使用家庭版许可）在社区中讨论较多，资源相对容易获取，降低了初学者的门槛。

最后，Nessus的扫描策略非常灵活。我们可以针对不同类型的靶场（Web应用、操作系统、数据库）定制不同的扫描策略，从快速发现到深度审计，都能满足。这对于我们构建一个包含多种漏洞类型的综合靶场来说，是核心优势。

注意：务必从Tenable官方或可信渠道获取Nessus安装包。网络上流传的所谓“破解版”或捆绑了恶意软件的版本风险极高，可能引入后门，导致你的靶场环境乃至宿主机被入侵。对于个人学习和测试，Tenable提供功能齐全的Nessus Essentials（家庭版），完全免费，最多支持扫描16个IP地址，足以满足我们靶场搭建的需求。

2.2 靶场环境设计与系统准备

我们的靶场是一个逻辑上的“实验网络”，为了简化，我们采用单机多服务的架构。这意味着我们将在一台物理机或虚拟机（推荐）上，同时运行Nessus扫描器和多个漏洞靶场应用。

宿主机选择：强烈推荐使用虚拟机。VirtualBox或VMware Workstation Player都是免费且优秀的选择。虚拟机的优势在于快照功能——你可以在任何一个关键步骤（如安装完系统、配置好Nessus后）创建一个快照。如果后续操作失误或环境被“玩坏”，可以瞬间回滚到干净状态，极大地节省时间。

操作系统选择：我们将使用Kali Linux作为宿主机系统。原因有三：第一，Kali预装了海量的安全工具，后续如果需要进行手动漏洞利用或深度测试，工具链是现成的；第二，Kali基于Debian，软件包管理方便，对Nessus的支持也很好；第三，社区资源丰富，遇到问题容易找到解决方案。

具体准备步骤：

1. 下载Kali Linux镜像：访问Kali官网，下载最新的Kali Linux VMware或VirtualBox镜像。直接使用预制镜像可以免去系统安装的繁琐步骤。
2. 导入并启动虚拟机：使用VMware或VirtualBox导入下载的Kali镜像。建议为虚拟机分配至少4GB内存和80GB硬盘空间，CPU核心数2个以上，以保证Nessus和多个靶场服务同时运行的流畅性。
3. 系统更新与基础配置：启动Kali虚拟机，首先更新系统。

   sudo apt update && sudo apt upgrade -y

   然后，确保安装了curl和wget工具，后续下载安装包会用到。

   sudo apt install curl wget -y

4. 网络配置：将虚拟机的网络模式设置为“桥接模式”（Bridged Adapter）。这样，虚拟机会获得一个与你物理主机同网段的独立IP地址，模拟一台真实的网络设备，方便Nessus对其进行扫描。记下Kali虚拟机获取到的IP地址，例如192.168.1.100。

3. Nessus v10.9.4 安装与初始化实战

3.1 获取与安装Nessus

完成系统准备后，我们开始安装主角Nessus。

1. 获取安装包：打开浏览器，在Kali虚拟机内访问Tenable官网的Nessus下载页面。选择“Nessus Essentials”版本，系统类型选择“Debian / Kali Linux (64-bit)”。你会得到一个以.deb结尾的安装包链接。复制链接，在Kali终端中使用wget下载。

   wget --user-agent="Mozilla" "https://www.tenable.com/downloads/api/v1/public/pages/nessus/downloads/XXXXX/download?i_agree_to_tenable_license_agreement=true" -O Nessus.deb

   （请注意，上述URL中的XXXXX是动态的，请以官网实际提供的链接为准。使用--user-agent参数是为了避免某些下载服务器对简单wget请求的拦截）。

2. 安装软件包：使用Debian的包管理器进行安装。

   sudo dpkg -i Nessus.deb

   如果提示缺少依赖，运行以下命令自动修复：

   sudo apt --fix-broken install -y

3. 启动Nessus服务：安装完成后，启动Nessus服务并设置开机自启。

   sudo systemctl start nessusd sudo systemctl enable nessusd

   使用systemctl status nessusd命令检查服务是否正常运行，状态应为active (running)。

3.2 初始化配置与获取激活码

服务启动后，Nessus的Web管理界面并不会立即可用，它需要一些时间进行初始化编译插件。这个过程可能会持续几分钟到二十分钟，取决于你的机器性能。

1. 访问管理界面：在Kali虚拟机的浏览器中，访问https://localhost:8834。由于是自签名证书，浏览器会提示安全风险，选择“高级”->“继续前往”即可。
2. 选择版本：在初始化界面，选择“Nessus Essentials”（免费版）。
3. 输入激活码：这里需要你提供一个激活码（Activation Code）。你需要前往Tenable官网，注册一个账户（使用真实邮箱，用于接收激活码），在账户页面中可以获取到免费的Nessus Essentials激活码。将获取到的激活码粘贴到Web界面中。
4. 创建管理员账户：接下来，设置你的Nessus管理员账号和密码。这个账号用于登录Web控制台，请务必牢记。
5. 等待插件编译：提交后，Nessus会自动开始下载最新的漏洞插件库并进行编译。这是一个漫长的过程，界面会显示进度条。你可以去喝杯咖啡，耐心等待。此过程必须保持网络通畅。

实操心得：插件编译阶段是第一个容易“卡住”的点。如果进度条长时间不动，或者虚拟机网络不稳定，可能导致失败。此时可以尝试在Kali终端中重启服务：sudo systemctl restart nessusd，然后刷新浏览器页面。有时，编译过程在后台仍在继续，只是前端没有刷新。

3.3 更新至最新规则包（插件）

初始化完成后，虽然Nessus已经可以用了，但为了确保我们能检测到最新的漏洞（比如热词中提到的74CMS、骑士CMS的最新漏洞变种），必须手动更新插件到最新版本。

1. 登录控制台：使用你设置的管理员账号登录https://localhost:8834。
2. 检查更新：在控制台界面，通常会有明显的提示告知插件有更新。你也可以点击左上角“Settings” -> “Software Update”。
3. 离线更新（推荐）：由于网络环境问题，在线更新可能非常缓慢甚至失败。更可靠的方法是进行离线更新。
   • 访问Tenable的插件更新页面，下载适用于你Nessus版本的最新all-2.0.tar.gz插件包。
   • 在Nessus的“Settings” -> “Advanced”页面中，找到“Manual Plugin Updates”区域。
   • 点击“Choose File”，选择你下载的all-2.0.tar.gz文件，然后点击“Upload”。
   • 系统会自动开始更新，并提示需要重启服务。在“Settings” -> “Status”页面，可以重启Nessus服务。
4. 验证更新：服务重启后，再次进入“Settings” -> “Software Update”，查看插件版本日期，确认已更新到最新。

至此，一个功能完整、规则最新的Nessus v10.9.4就部署完毕了。接下来，我们要为它寻找“目标”——部署我们的漏洞靶场。

4. 构建综合漏洞靶场：DVWA、骑士CMS与74CMS

一个单一的靶场不足以覆盖漏洞的多样性。因此，我们部署三个极具代表性的Web应用靶场：DVWA（综合型）、骑士CMS（内容管理系统漏洞）、74CMS（另一款CMS漏洞），形成一个微型的“企业应用生态”。

4.1 部署DVWA靶场

DVWA（Damn Vulnerable Web Application）是Web安全入门必刷的靶场，涵盖了SQL注入、XSS、文件上传、命令执行等十大经典漏洞，且每个漏洞有低、中、高三个安全等级。

1. 安装LAMP栈：DVWA需要PHP和MySQL环境。在Kali上安装非常方便。

   sudo apt install apache2 mariadb-server php php-mysqli php-gd libapache2-mod-php -y

   这里我们使用MariaDB替代MySQL，二者完全兼容。

2. 启动服务并配置数据库：

   sudo systemctl start apache2 mariadb sudo systemctl enable apache2 mariadb

   运行MySQL安全初始化脚本，设置root密码（建议设置一个简单的，如password，仅用于实验环境）。

   sudo mysql_secure_installation

   按照提示设置密码、移除匿名用户、禁止root远程登录等。

3. 下载并配置DVWA：

   cd /var/www/html sudo git clone https://github.com/digininja/DVWA.git sudo chown -R www-data:www-data DVWA/

   复制配置文件模板并修改：

   cd DVWA/config sudo cp config.inc.php.dist config.inc.php sudo nano config.inc.php

   找到$_DVWA[ 'db_password' ]一行，将其值改为你刚才设置的MariaDB root密码。

4. 创建数据库：访问http://<你的Kali IP>/DVWA/setup.php，点击页面底部的“Create / Reset Database”按钮。系统会自动创建所需的数据库和表。如果看到绿色的“Setup Successful”提示，说明DVWA部署成功。

5. 登录：默认用户名admin，密码password。

4.2 部署骑士CMS靶场

骑士CMS是一款国产内容管理系统，历史上存在多处漏洞，如热词中提到的“水平越权漏洞”，是学习逻辑漏洞的绝佳材料。

1. 下载源码：在互联网上搜索“骑士CMS 漏洞版本”或“骑士CMS 历史版本”，可以找到包含已知漏洞的旧版本安装包（例如6.0版本）。请务必在虚拟机隔离环境中进行此操作。
2. 解压并放置到Web目录：

   sudo unzip 74cms_v6.0.zip -d /var/www/html/74cms sudo chown -R www-data:www-data /var/www/html/74cms

3. 配置数据库：在浏览器访问http://<你的Kali IP>/74cms/install，按照图形化安装向导，输入数据库信息（需要先在MariaDB中创建一个名为74cms的数据库），完成安装。
4. 移除安装目录（安全最佳实践）：

   sudo rm -rf /var/www/html/74cms/install

4.3 部署74CMS靶场

部署流程与骑士CMS类似，目的是为了验证Nessus对不同CMS漏洞的检测能力。

1. 下载74CMS漏洞版本源码。
2. 解压到Web目录，例如/var/www/html/74cms（注意与骑士CMS路径区分，这里假设为/var/www/html/qishi）。
3. 通过Web安装向导完成安装。
4. 同样，安装完成后务必删除install目录。

重要注意事项：部署这些带有已知漏洞的CMS系统，必须在完全隔离的虚拟机或内网中进行，绝对不允许部署在公网或公司生产网络。它们本身就是安全漏洞，一旦暴露，会立即成为攻击者的跳板。

现在，我们的靶场环境已经就绪：

• Nessus扫描器：运行在https://localhost:8834
• DVWA靶场：http://<Kali_IP>/DVWA
• 骑士CMS靶场：http://<Kali_IP>/qishi
• 74CMS靶场：http://<Kali_IP>/74cms

接下来，就是让Nessus这位“安全医生”来给这些“带病”的系统做一次全面的“体检”。

5. 配置Nessus扫描策略与执行深度扫描

有了目标和工具，我们需要制定“体检方案”，即扫描策略。Nessus的威力很大程度上取决于策略的配置是否得当。

5.1 创建第一个扫描策略：基础Web漏洞扫描

1. 新建策略：登录Nessus，点击“Policies” -> “New Policy”。策略是扫描设置的模板。
2. 选择模板：在“Advanced Scan”和“Web Application Tests”之间，我们选择“Web Application Tests”。这个模板预置了针对Web漏洞的优化设置，比通用扫描更高效、更聚焦。
3. 配置基本设置：
   • General：给策略起个名字，如“My_Web_App_Scan”。
   • Credentials：这里我们先不配置（因为靶场我们已知账号密码，但对于内部测试，配置Credential可以扫描出更多授权后才能发现的漏洞）。
   • Plugins：这是核心。点击“Filters”，我们可以禁用一些不相关的插件族，比如“Windows”、“CISCO”等，以加快扫描速度。但对于学习，保持默认全选也没问题。
   • Preferences：关键设置在这里。
     • Scan Options：将“Port scan range”设置为default（Nessus会扫描常用Web端口如80,443,8080等）。将“Performance”调整为“Normal”或“Fast”，避免对靶场造成过大负载。
     • Advanced：在“HTTP”设置中，可以勾选“Enable CGI scanning”和“Test for known web servers and applications”，这有助于识别靶场使用的具体技术（如PHP版本、Apache版本）。

5.2 创建扫描任务并执行

策略是蓝图，任务是具体的行动。

1. 新建扫描：点击“Scans” -> “New Scan”。
2. 选择策略：选择我们刚创建的“My_Web_App_Scan”策略。
3. 设置目标：
   • Scan Type：选择“Basic Network Scan”。
   • Targets：这里输入我们Kali虚拟机的IP地址。因为所有靶场都在这台机器上，所以扫描这个IP地址就能覆盖所有Web服务。例如：192.168.1.100。
   • Schedule：选择“One time”（一次性扫描）。
4. 启动扫描：点击“Save”后，扫描任务会出现在列表中。点击该任务右侧的“Launch”按钮，扫描立即开始。

5.3 实时监控与初步结果解读

扫描启动后，你可以点击任务名称进入详情页，实时查看扫描进度、已发现的漏洞数量（按严重程度分类：Critical, High, Medium, Low, Info）。

首次扫描结果分析（示例）：

• Critical/High：可能发现靶场应用使用的PHP版本过旧存在的远程代码执行漏洞、数据库默认弱口令等。
• Medium：很可能会发现“Cross-Site Scripting (XSS)”漏洞（对应DVWA的XSS模块）、“PHP ‘php://input’ Remote File Inclusion”等。
• Low/Info：可能会发现“Apache HTTP Server Version Disclosure”、“PHP Version Disclosure”等信息泄露类漏洞。

此时，你可能会觉得，Nessus只是把漏洞“报”出来了，但怎么证明它真的存在呢？这就是我们下一阶段要做的：将Nessus的报告与手动验证相结合，完成从“扫描告警”到“漏洞实证”的闭环。

6. 漏洞验证与深度分析：以DVWA文件上传为例

Nessus给出了漏洞提示，例如一个“Medium”级别的“Unrestricted File Upload”漏洞。我们需要手动验证，并理解其原理。我们以DVWA的“File Upload”漏洞模块（Medium级别）为例，演示如何结合Nessus报告进行深度实践。

6.1 定位漏洞目标

在Nessus扫描报告中，找到关于“Unrestricted File Upload”或类似描述的漏洞条目。报告会给出漏洞所在的URL，例如http://192.168.1.100/DVWA/vulnerabilities/upload/。同时，报告会详细说明漏洞原理：服务器在验证上传文件时仅检查了Content-Type或文件扩展名，但未检查文件内容，导致可能上传Web Shell。

6.2 手动验证漏洞

1. 访问目标页面：登录DVWA，将安全级别设置为“Medium”，然后进入“File Upload”模块。
2. 准备Web Shell：创建一个简单的PHP Web Shell文件shell.php，内容如下：

   <?php system($_GET['cmd']); ?>

3. 绕过客户端检查（Medium级别）：DVWA Medium级别的防御是检查Content-Type。我们使用Burp Suite或浏览器开发者工具进行绕过。
   • 正常上传一个图片文件，用抓包工具拦截请求。
   • 将上传的文件名和文件内容替换为我们的shell.php，但保持请求头中的Content-Type: image/jpeg不变。
   • 转发请求。如果服务器只验证Content-Type，那么上传将会成功。
4. 验证利用：如果上传成功，访问http://192.168.1.100/DVWA/hackable/uploads/shell.php?cmd=id，如果页面上显示了当前系统用户的id信息，则证明漏洞利用成功，服务器可以执行任意命令。

6.3 关联分析与报告撰写

完成手动验证后，我们再回看Nessus的报告，理解就深刻多了：

• 风险评级：Nessus将其评为“Medium”，是因为文件上传漏洞的危害可大可小，取决于上传路径是否可访问、是否可执行。在我们的案例中，上传目录hackable/uploads是可Web访问的，因此危害升级。
• 解决方案：Nessus报告建议“实施白名单验证文件类型，并检查文件内容签名”。这正是我们手动验证中暴露的问题：只检查了Content-Type（黑名单/易绕过），未检查文件魔数（Magic Number）。
• 影响范围：报告会列出受影响的URL，帮助我们快速定位问题页面。

通过这个“扫描->报告->手动验证->理解原理”的过程，你就不再是机械地点击“上传”按钮，而是真正理解了漏洞的成因、利用条件和修复方向。对于骑士CMS的水平越权漏洞、74CMS的SQL注入漏洞，都可以采用同样的方法进行深度探究。

7. 常见问题排查与性能优化实录

在实际搭建和扫描过程中，你一定会遇到各种问题。下面是我踩过坑后总结的“排错指南”。

7.1 Nessus相关问题

问题1：Nessus服务启动失败或无法访问https://localhost:8834。

• 排查：首先检查服务状态：sudo systemctl status nessusd。如果状态不是active，查看日志：sudo tail -f /var/log/nessus/nessusd.messages。常见原因是端口冲突或初始化未完成。
• 解决：
  • 确保8834端口未被占用：sudo netstat -tlnp | grep 8834。
  • 如果初始化插件编译失败，尝试手动更新插件包（见3.3节）。
  • 彻底重启服务：sudo systemctl restart nessusd，并等待几分钟再访问。

问题2：扫描速度极慢，或卡在某个主机上。

• 排查：检查扫描策略的“Performance”设置和“Port scan range”。如果扫描了全端口（1-65535），速度会非常慢。
• 解决：
  • 针对Web靶场，将端口范围设置为80,443,8080,8443。
  • 在策略的“Advanced” -> “Performance”中，降低“Max simultaneous checks per host”（默认5，可适当调高，如10，但注意负载）。
  • 确保虚拟机分配了足够的CPU和内存资源。

问题3：扫描结果中误报很多。

• 排查：Nessus基于插件规则匹配，某些模糊的规则可能产生误报。
• 解决：
  • 在报告界面，可以对漏洞进行“False Positive”标记，Nessus会学习你的判断。
  • 调整策略，禁用一些已知误报率较高的插件族（如某些“Generic”检测）。
  • 最重要的：养成手动验证高危漏洞的习惯，不要盲目相信扫描器。

7.2 靶场环境问题

问题1：DVWA页面显示“PHP function allow_url_include is disabled.”等错误。

• 解决：需要修改PHP配置。编辑/etc/php/版本号/apache2/php.ini文件，找到allow_url_include和allow_url_fopen，将其值改为On。然后重启Apache：sudo systemctl restart apache2。

问题2：访问CMS靶场出现数据库连接错误。

• 排查：检查config.inc.php或CMS配置文件中的数据库密码、主机名（通常是localhost）、数据库名是否正确。
• 解决：确保MariaDB服务正在运行（sudo systemctl status mariadb），并且已创建对应的数据库和用户（如果有独立用户的话）。

问题3：上传Web Shell成功但无法执行命令。

• 排查：可能上传目录没有执行PHP的权限，或者system等危险函数被禁用。
• 解决：检查Apache对该目录的配置。对于学习环境，可以临时放宽限制，但务必理解这带来的安全风险。

7.3 性能与资源优化

• 虚拟机快照：在安装好Nessus和所有靶场后，创建一个完整的虚拟机快照。这是你最好的“后悔药”。
• 定期更新：每隔一两周，手动更新一次Nessus插件包，以获取最新的漏洞检测能力。
• 扫描计划：对于需要反复扫描的靶场，可以创建定时扫描任务，并设置扫描完成后自动发送邮件报告（需配置SMTP）。
• 报告导出：Nessus支持导出HTML、PDF、CSV等格式的报告。CSV格式便于进行漏洞数据的统计和分析。

搭建并运行这个实战靶场，就像经营一个自己的安全实验室。初期会遇到各种环境问题、配置错误，但每一个问题的解决，都是对Linux操作、网络服务、Web架构理解的加深。当你能熟练地用Nessus扫描出问题，并手动复现和验证它时，那些书本上的漏洞原理就不再是抽象的代码片段，而是你亲手触碰过的、真实存在的风险。这个过程，正是将“空中楼阁”般的理论知识，夯实为脚下阶梯的关键一步。