关于GasMasK
GasMasK是一款功能强大的开源网络情报工具,该工具由多种信息收集工具构成,可以算得上是广大安全研究人员的一把“瑞士军刀”了。在该工具的帮助下,我们可以轻松执行开源网络情报收集工作。
支持收集的信息
ask
bing
crt
censys.io
dns
dnsdumpster
dogpile
github
googleplus
netcraft
pgp
reverse dns
shodan
vhosts
virustotal
whois
yahoo
yandex
youtube
spyse
工具依赖组件
Python 3.x
validators
python-whois
dnspython
requests
shodan
censys
mmap
pprint
工具下载
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/twelvesec/gasmask.git
然后使用pip3命令和项目提供的requirements.txt安装该工具所需的其他依赖组件:
sudo pip3 install -r requirements.txt
工具模式
基础模式
Whois查询
DNS请求
反向DNS查询
Bing虚拟主机
非Google模式
Whois查询
DNS请求
反向DNS查询
Bing虚拟主机
Bing搜索
雅虎搜索
ASK搜索
Dogpile搜索
Yandex搜索
Crt搜索
DNSdumpster搜索
Netcraft搜索
VirusTotal搜索
Spyse搜索
工具帮助信息
___________ .__ _________ \__ ___/_ _ __ ____ | |___ __ ____ / _____/ ____ ____ | | \ \/ \/ // __ \| |\ \/ // __ \ \_____ \_/ __ \_/ ___\ | | \ /\ ___/| |_\ /\ ___/ / \ ___/\ \___ |____| \/\_/ \___ >____/\_/ \___ >_______ /\___ >\___ > \/ \/ \/ \/ \/ GasMasK v. 2.0 - All in one Information gathering tool - OSINT GasMasK is an open source tool licensed under GPLv3. Written by: @maldevel, mikismaos, xvass, ndamoulianos, sbrb https://www.twelvesec.com/ Please visit https://github.com/twelvesec/gasmask for more.. usage: gasmask.py [-h] [-d DOMAIN] [-s NAMESERVER] [-x PROXY] [-l LIMIT] [-i MODE] [-o BASENAME] [-k API-KEY] [-e SPYSE_API_KEY] [-m MATCH] [-f FILTER] [--count] [-R REPORT] [-B REPORT_BUCKET] [-1 CENSYS_API_ID] [-2 CENSYS_API_SECRET] [-r] [-u] [-a ASN] [-c COUNTRY] [-O CERT_ORG] [-I CERT_ISSUER] [-z CERT_HOST] [-S HTTP_SERVER] [-t HTML_TITLE] [-b HTML_BODY] [-T TAGS] [-L LIMIT] [-D] [-v] [-H] [arguments [arguments ...]] positional arguments: arguments Censys 查询 optional arguments: -h, --help 显示工具帮助信息和退出 -d DOMAIN, --domain DOMAIN 要查询的域名 -s NAMESERVER, --server NAMESERVER 使用的DNS服务器 -x PROXY, --proxy PROXY 使用代理服务器从搜索引擎获取结果,例如'-x http://127.0.0.1:8080' -l LIMIT, --limit LIMIT 限制搜索引擎的返回结果数量,默认为100 -i MODE, --info MODE 限制信息收集模式 (basic,nongoogle,whois,dns,revdns,vhosts,google,bing,yahoo,ask,dogpile,yandex,linkedin,twitter,youtube,reddit,github,instagram,crt,pgp,netcraft,virustotal,dnsdump,shodan,censys,spyse). -o BASENAME, --output BASENAME 一次性以四种格式输出结果 (markdown, txt, xml和html). -k API-KEY, --shodan-key API-KEY Shodan搜索密钥 (MODE="shodan") -e SPYSE_API_KEY, --spyse-key SPYSE_API_KEY -m MATCH, --match MATCH 在已有查询结果中高亮显示匹配字符串 -f FILTER, --filter FILTER 过滤JSON键名并显示每个结果 --count 打印计数结果 -B REPORT_BUCKET, --report_bucket REPORT_BUCKET 报告模式的Bucket长度,默认为10 -1 CENSYS_API_ID, --censys_api_id CENSYS_API_ID 为censys.io搜索引擎提供认证ID -2 CENSYS_API_SECRET, --censys_api_secret CENSYS_API_SECRET 给censys.io搜索引擎提供密钥哈希 -r, --read_api_keys 读取存储在api_keys.txt文件中的API密钥,例如'-i censys -r' -u, --update_api_keys 更新存储在api_keys.txt文件中的API密钥,例如'-i censys -u' -a ASN, --asn ASN 过滤ASN -c COUNTRY, --country COUNTRY 过滤国家信息 -O CERT_ORG, --cert-org CERT_ORG 组织颁发的证书 -I CERT_ISSUER, --cert-issuer CERT_ISSUER 组织颁发的证书 -z CERT_HOST, --cert-host CERT_HOST 主机名证书 -S HTTP_SERVER, --http-server HTTP_SERVER 服务器Header -t HTML_TITLE, --html-title HTML_TITLE 过滤HTML页面标题 -b HTML_BODY, --html-body HTML_BODY 过滤HTML Body内容 -T TAGS, --tags TAGS 过滤指定标签,例如-T tag1,tag2,... -L LIMIT, --Limit LIMIT 限制N条结果 -D, --debug 显示调试信息 -v, --verbose 打印原始JSON记录 -H, --html 在浏览器中显示HTML元素
工具使用
基础使用样例
python gasmask.py -d example.com -i basic python gasmask.py -d example.com -i dnsdump python gasmask.py -d example.com -i shodan -k xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx python gasmask.py -d example.com -i whois,dns,revdns python gasmask.py -d example.com -i basic,yahoo,github -o myresults/example_com_search_results
censys.io使用样例
python gasmask.py -i censys --Limit 10 nessus python gasmask.py -i censys -I SAP --report location.country.raw --report_bucket 10 python gasmask.py -i censys --html-title "Hacked By" --Limit 10 --html python gasmask.py -i censys --tags heartbleed --report location.country.raw python gasmask.py -i censys -S NGINX --count python gasmask.py -i censys -d example.com python gasmask.py -i censys -t "Internal Server Error" -S Apache -m "HTTP 500" --Limit 15
API密钥读取样例(censys.io)
python gasmask.py -i censys -r
API密钥更新样例(censys.io)
python gasmask.py -i censys -u
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
- 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
- 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图 ![](https://img-blog.csdnimg.cn/direct/424e38ca2a4f4d9f8309ef122fbcf07a.png)
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取