如何在windows下搭建巡风扫描系统-安全小百科

近期一直想搭建一个自己的漏扫平台，同时锻炼下自己的poc编写水平，，不过还是借助一个平台吧~

这里采用的是YSRC的巡风扫描系统，界面非常好，不过插件就有点坑了。。

下面来详细介绍一下搭建过程

巡风扫描系统下载地址:https://github.com/ysrc/xunfeng

虽然github上给出了下载教程，但是对mongo db的不熟悉，一些指令可能会引起新人的误解！

一、环境部署

1.安装python编译器

这里我用的是python2.7，官方推荐也是2.7

下载安装即可（在系统变量中添加路径，，不要忘了~）

2.python依赖库

这里还好，github上给出了依赖库，直接对着txt文件安装即可

现在python一般都会自带pip工具，如果没有，需要到网上下一个

这里我的pip工具在C:Python27Scripts目录下，到这里shift+右键然后打开命令窗口，最后安装依赖库即可~

<br />
pip install -r requirements.txt -i http://pypi.douban.com/simple/ –trusted-host pypi.douban.com

1	pip install –r requirements.txt –i http://pypi.douban.com/simple/ –trusted-host pypi.douban.com

这里需要说明下，就是这个requirements.txt文件是在我们下载的xunfeng-master文件里，需要将这个文件拷贝至C:Python27Scripts目录下，不然就是-r 后面申明requirements.txt文件的路径！

等待片刻，即会自动安装好~

3.安装mongo db数据库

这里也比较简单，就是一个应用安装，不需要自己去部署~

下载: https://sec.ly.com/mirror/mongodb-win32-x86_64-2008plus-ssl-3.4.0-signed.msi

二、环境与配置

1.启动数据库

<br />
mongod.exe –port 65521 –dbpath DBData

1	mongod.exe —port 65521 —dbpath DBData

这里的mongod.exe是在C:Program FilesMongoDBServer3.4bin目录下，安装的时候需要找下相应的目录

这里说明下DBData为数据库的文件存放位置，这里我设置的为d:xunfengdata

在启动数据库之前需要先将数据库这个文件夹创建好，为空即可~

然后如果按照我的设置来的话，启动命名应该为

<br />
mongod.exe –port 65521 –dbpath d:xunfengdata

1	mongod.exe —port 65521 —dbpath d:xunfengdata

这里mongo db的端口为65521，端口不被重用即可，这里没什么特殊的要求

2.添加数据库认证用户和密码

<br />
mongo 127.0.0.1:65521/xunfeng

1	mongo 127.0.0.1:65521/xunfeng

这里的命令都是在mongo的那个bin目录下进行操作，全是命令行，因此可能会比图形化配置复杂些~

这里添加了一个数据库为巡风，下面为这个数据库添加认证信息

<br />
> db.createUser({user:’scan’,pwd:’password’,roles:[{role:’dbOwner’,db:’xunfeng’}]})<br />
> exit

1 2	> db.createUser({user:‘scan’,pwd:‘password’,roles:[{role:‘dbOwner’,db:‘xunfeng’}]}) > exit

这里user和pwd自行设置，我都是设置的root，方便好记~

3.导入数据到数据库中

<br />
mongorestore.exe -h 127.0.0.1 –port 65521 -d xunfeng db

1	mongorestore.exe –h 127.0.0.1 —port 65521 –d xunfeng db

这里的db表示文件夹，存储在xunfeng-master目录中，这里笔者为D:xunfeng-masterdb，个人按照自己电脑进行设置！

4.修改默认配置

最后修改下系统运行的初始参数

打开xunfeng-master目录下的Config.py

<br />
class Config(object):<br />
    ACCOUNT = ‘admin’<br />
    PASSWORD = ‘admin’</p>
<p>class ProductionConfig(Config):<br />
    DB = ‘127.0.0.1’<br />
    PORT = 65521<br />
    DBUSERNAME = ‘root’<br />
    DBPASSWORD = ‘root’<br />
    DBNAME = ‘xunfeng’

class Config(object):

ACCOUNT = ‘admin’

PASSWORD = ‘admin’

class ProductionConfig(Config):

DB = ‘127.0.0.1’

PORT = 65521

DBUSERNAME = ‘root’

DBPASSWORD = ‘root’

DBNAME = ‘xunfeng’

这里作个简单介绍，上面的config配置为巡风扫描系统的登录账号和密码，也就是对应一般网站的后台登录密码，下面的配置为数据库的连接配置~

这里DBUSERNAME和DBPASSWORD为刚才自行设置的数据库连接账号密码，笔者均为root，对应的步骤为”添加数据库认证用户和密码”，修改完这里进行保存

修改Run.bat文件

<br />
start mongod.exe –port 65521 –dbpath d:xunfengdata –auth<br />
start python Run.py<br />
start python aider/Aider.py<br />
start python nascan/NAScan.py<br />
start python vulscan/VulScan.py

start mongod.exe —port 65521 —dbpath d:xunfengdata —auth

start python Run.py

start python aider/Aider.py

start python nascan/NAScan.py

start python vulscan/VulScan.py

这里–dbpath默认为DB，没有进行配置其实，因此我们要将其修改为我们的数据库存储目录，存储目录在第一步其实就已配置好~

这里的mongod.exe也会存在问题，在前面我们进行配置的时候都是在mongo db的bin目录下进行操作，因此mongod.exe在那个目录里，也就能够运行，但是这个Run.bat是在xunfeng-master目录下，当前目录下没有mongod.exe，因此在运行时会出现找不到这个文件，对应这种问题，将bin目录下的mongod.exe复制进xunfeng-master目录下即可~

最后运行Run.bat即可，首先查验一下自己的80端口是否被占用，如果没有被占用，那么打开127.0.0.1:80应该就能看见巡风的登录界面了

如有不当之处，敬请指出~

相关推荐: 【转】水坑攻击之Jsonp hijacking-信息劫持

0X01 Jsonp hijacking作用这是一种基于水坑攻击的攻击方式，用于大规模的获取用户信息，因为可以绕过同源策略的限制而展开，所以其威力巨大，尤其是在一些大型网站的接口处，用此方法可以盗取已登陆用户的敏感信息从而进行进一步的攻击。 …

文章版权归作者所有，未经允许请勿转载。

THE END