kali工具(信息收集一)

whhc

已于 2023-04-16 15:42:05 修改

阅读量1.8k

点赞数 3

文章标签：网络安全

于 2023-04-11 21:21:35 首次发布

本文链接：https://blog.csdn.net/m0_58001548/article/details/130045138

版权

作为安全人员，kali肯定知晓，但你真的都熟悉吗，这篇开始介绍kali这个工具。

一、存活主机识别

1、arping

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在同一以太网中，通过地址解析协议，源主机可以通过目的主机的IP地址获得目的主机的MAC地址。arping程序就是完成上述过程的程序。

arping，用来向局域网内的其它主机发送ARP请求的指令，它可以用来测试局域网内的某个IP是否已被使用。

arping [-AbDfhqUV] [-c count] [-w deadline] [-s source] -I interface destination

参数：

-A：与-U参数类似，但是使用的是ARP REPLY包而非ARP REQUEST包。 
-b：发送以太网广播帧，arping在开始时使用广播地址，在收到回复后使用unicast单播地址。 
-c：发送指定的count个ARP REQUEST包后停止。如果指定了-w参数，则会等待相同数量的ARP REPLY包，直到超时为止。 
-D：重复地址探测模式，用来检测有没有IP地址冲突，如果没有IP冲突则返回0。 
-f：收到第一个响应包后退出。 
-h：显示帮助页。 
-I：用来发送ARP REQUEST包的网络设备的名称。 
-q：quite模式，不显示输出。 
-U：无理由的（强制的）ARP模式去更新别的主机上的ARP CACHE列表中的本机的信息，不需要响应。 
-V：显示arping的版本号。 
-w：指定一个超时时间，单位为秒，arping在到达指定时间后退出，无论期间发送或接收了多少包。在这种情况下，arping在发送完指定的count（-c）个包后并不会停止，而是等待到超时或发送的count个包都进行了回应后才会退出。 
-s：设置发送ARP包的IP资源地址，如果为空，则按如下方式处理： 
1、DAD模式（-D）设置为0.0.0.0； 
2、Unsolicited模式（-U）设置为目标地址；

3、其它方式，从路由表计算。

例1：查看某个IP的MAC地址

arping 192.168.131.155

例2：查看某个IP的MAC地址，并指定count数量

arping -c 1 192.168.131.155

例3：当有多块网卡的时候，指定特定的设备来发送请求包

arping -i eth1 -c 1 192.168.131.155

例4：查看某个IP是否被不同的MAC占用

arping -d 192.168.131.155

例5：查看某个MAC地址的IP，要在同一子网才查得到

arping -c 1 52:54:00:a1:31:89

例6：确定MAC和IP的对应，确定指定的网卡绑定了指定的IP

arping -c 1 -T 192.168.131.156 00:13:72:f9:ca:60

例7：确定IP和MAC对应，确定指定IP绑在了指定的网卡上

arping -c 1 -t 00:13:72:f9:ca:60 192.168.131.156

例8：有时候，本地查不到某主机，可以通过让网关或别的机器去查。以下几种形式测了下都可以

arping -c 1 -S 10.240.160.1 -s 88:5a:92:12:c1:c1 10.240.162.115

arping -c 1 -S 10.240.160.1 10.240.162.115

2、fping

Fping程序类似于ping（ping是通过ICMP（网络控制信息协议InternetControl Message Protocol）协议回复请求以检测主机是否存在）。Fping与ping不同的地方在于，fping可以在命令行中指定要ping的主机数量范围，也可以指定含有要ping的主机列表文件。

参数：

-a
Lists targets that responded
显示可ping通的目标
-A
Lists targets by address instead of hostname
将目标以ip地址的形式显示
-b <num>
Sends <num> bytes of data per ICMP packet (default 56)
ping 数据包的大小。（默认为56）
-B <f>
Tells fping to wait <f> times longer for a reply after each successive failed request (default1.5)
设置指数反馈因子到f
-c <num>
Number of Pings to send to each target (default 1)
ping每个目标的次数 (默认为1)
-C <num>
Same as above but prints additional statistics for each host
同-c，返回的结果为冗长格式
-e
Displays elapsed time on return packets
显示返回数据包所费时间
-f <file>
Reads the target list from <file> (use "-" for standard input) (only if no -g specified)
从文件获取目标列表( - 表示从标准输入)(不能与 -g 同时使用)
-g
Tells fping to generate a target list by specifying the start and end address (ex. ./fping -g 192.168.1.0 192.168.1.255) or an IP/subnet mask (ex. ./fping -g 192.168.1.0/24)
通过指定开始和结束地址来生成目标列表（例如：./fping –g 192.168.1.0 192.168.1.255）或者一个IP/掩码形式（例如：./fping –g 192.168.1.0/24）
-i <num>
Interval (in milliseconds) to wait between Pings (default 25)
设置ip的TTL值 (生存时间)
-l
Sends Pings forever
循环发送ping
-m
Pings multiple interfaces on target host
ping目标主机的多个网口
-n
Displays targets by name (-d is equivalent)
将目标以主机名或域名显示(等价于 -d )
-p <num>
Interval (in milliseconds) between Pings to an individual target (in looping and counting modes, default 1000)
对同一个目标的ping包间隔(毫秒) (在循环和统计模式中，默认为1000)
-q
Doesn't show per-target/per-Ping results
安静模式(不显示每个目标或每个ping的结果)
-Q <num>
Same as -q, but show summary every <num> seconds
同-q, 但是每n秒显示信息概要
-r <num
When a host doesn't respond, retries the host <num> times (default 3)
当ping失败时，最大重试次数(默认为3次)
-s
Displays summary statistics
打印最后的统计数据
-t <num>
Timeout (in milliseconds) for individual targets (default 500)
单个目标的超时时间(毫秒)(默认500)
-u
Displays targets that are unreachable
显示不可到达的目标
-v
Displays version number
显示版本号

例1：Fping多个IP地址

fping 192.168.1.2 192.168.1.3

例2：Fping IP地址范围

fping -s -g 192.168.0.1 192.168.0.9

例3：使用不同选项填充完整网络

fping -g -r 1 192.168.0.0/24

例4：使用不同选项填充完整网络

fping < fping.txt

3、hping3

hping 是面向命令行的用于生成和解析TCP/IP协议数据包汇编/分析的开源工具。作者是Salvatore Sanfilippo，界面灵感来自ping（8）unix命令，目前最新版是 hping3，它支持TCP，UDP，ICMP和RAW-IP协议，具有跟踪路由模式，能够在覆盖的信道之间发送文件以及许多其他功能，支持使用tcl脚本自动化地调用其API。hping是安全审计、防火墙测试等工作的标配工具。hping 优势在于能够定制数据包的各个部分，因此用户可以灵活对目标机进行细致地探测。

参数：

用法: hping3 host [options]
  -h  --help      显示帮助
  -v  --version   显示版本
  -c  --count     发送数据包的数目
  -i  --interval  发送数据包间隔的时间 (uX即X微秒, 例如： -i u1000)
      --fast      等同 -i u10000 (每秒10个包)
      --faster    等同 -i u1000 (每秒100个包)
      --flood     尽最快发送数据包，不显示回复。
  -n  --numeric   数字化输出，象征性输出主机地址。
  -q  --quiet     安静模式
  -I  --interface 网卡接口 (默认路由接口)
  -V  --verbose   详细模式
  -D  --debug     调试信息
  -z  --bind      绑定ctrl+z到ttl(默认为目的端口)
  -Z  --unbind    取消绑定ctrl+z键
      --beep      对于接收到的每个匹配数据包蜂鸣声提示

模式选择
  default mode     TCP   // 默认模式是 TCP
  -0  --rawip      RAWIP模式，原始IP模式。在此模式下HPING会发送带数据的IP头。即裸IP方式。使用RAWSOCKET方式。
  -1  --icmp       ICMP模式，此模式下HPING会发送IGMP应答报，你可以用--ICMPTYPE --ICMPCODE选项发送其他类型/模式的ICMP报文。
  -2  --udp        UDP 模式，缺省下，HPING会发送UDP报文到主机的0端口，你可以用--baseport --destport --keep选项指定其模式。
  -8  --scan       SCAN mode. //扫描模式 指定扫描对应的端口。
                   Example: hping --scan 1-30,70-90 -S www.target.host    // 扫描
  -9  --listen     listen mode  // 监听模式
  
IP 模式
  -a  --spoof      spoof source address  //源地址欺骗。伪造IP攻击，防火墙就不会记录你的真实IP了，当然回应的包你也接收不到了。
  --rand-dest      random destionation address mode. see the man. // 随机目的地址模式。详细使用 man 命令
  --rand-source    random source address mode. see the man.       // 随机源地址模式。详细使用 man 命令
  -t  --ttl        ttl (默认 64)  //修改 ttl 值
  -N  --id         id (默认 随机)  // hping 中的 ID 值，缺省为随机值
  -W  --winid      使用win* id字节顺序  //使用winid模式，针对不同的操作系统。UNIX ,WINDIWS的id回应不同的，这选项可以让你的ID回应和WINDOWS一样。
  -r  --rel        相对id字段(估计主机流量)  //更改ID的，可以让ID曾递减输出，详见HPING-HOWTO。
  -f  --frag       拆分数据包更多的frag.  (may pass weak acl)   //分段，可以测试对方或者交换机碎片处理能力，缺省16字节。
  -x  --morefrag   设置更多的分段标志    // 大量碎片，泪滴攻击。
  -y  --dontfrag   设置不分段标志    // 发送不可恢复的IP碎片，这可以让你了解更多的MTU PATH DISCOVERY。
  -g  --fragoff    set the fragment offset    // 设置断偏移。
  -m  --mtu        设置虚拟最大传输单元, implies --frag if packet size > mtu    // 设置虚拟MTU值，当大于mtu的时候分段。
  -o  --tos        type of service (default 0x00), try --tos help          // tos字段，缺省0x00，尽力而为？
  -G  --rroute     includes RECORD_ROUTE option and display the route buffer    // 记录IP路由，并显示路由缓冲。
  --lsrr           松散源路由并记录路由        // 松散源路由
  --ssrr           严格源路由并记录路由      // 严格源路由
  -H  --ipproto    设置IP协议字段，仅在RAW IP模式下使用   //在RAW IP模式里选择IP协议。设置ip协议域，仅在RAW ip模式使用。

ICMP 模式
  -C  --icmptype   icmp类型(默认echo请求)    // ICMP类型，缺省回显请求。
  -K  --icmpcode   icmp代号(默认0)     // ICMP代码。
      --force-icmp 发送所有icmp类型(默认仅发送支持的类型)    // 强制ICMP类型。
      --icmp-gw    设置ICMP重定向网关地址(默认0.0.0.0)    // ICMP重定向
      --icmp-ts    等同 --icmp --icmptype 13 (ICMP 时间戳)            // icmp时间戳
      --icmp-addr  等同 --icmp --icmptype 17 (ICMP 地址子网掩码)  // icmp子网地址
      --icmp-help  显示其他icmp选项帮助      // ICMP帮助

UDP/TCP 模式
  -s  --baseport   base source port             (default random)              // 缺省随机源端口
  -p  --destport   [+][+]<port> destination port(default 0) ctrl+z inc/dec    // 缺省随机源端口
  -k  --keep       keep still source port      // 保持源端口
  -w  --win        winsize (default 64)        // win的滑动窗口。windows发送字节(默认64)
  -O  --tcpoff     set fake tcp data offset     (instead of tcphdrlen / 4)    // 设置伪造tcp数据偏移量(取代tcp地址长度除4)
  -Q  --seqnum     shows only tcp sequence number        // 仅显示tcp序列号
  -b  --badcksum   (尝试)发送具有错误IP校验和数据包。许多系统将修复发送数据包的IP校验和。所以你会得到错误UDP/TCP校验和。
  -M  --setseq     设置TCP序列号 
  -L  --setack     设置TCP的ack   ------------------------------------- (不是 TCP 的 ACK 标志位)
  -F  --fin        set FIN flag
  -S  --syn        set SYN flag
  -R  --rst        set RST flag
  -P  --push       set PUSH flag
  -A  --ack        set ACK flag   ------------------------------------- （设置 TCP 的 ACK 标志 位）
  -U  --urg        set URG flag      // 一大堆IP抱头的设置。
  -X  --xmas       set X unused flag (0x40)
  -Y  --ymas       set Y unused flag (0x80)
  --tcpexitcode    使用last tcp-> th_flags作为退出码
  --tcp-mss        启用具有给定值的TCP MSS选项
  --tcp-timestamp  启用TCP时间戳选项来猜测HZ/uptime

Common //通用设置
  -d  --data       data size    (default is 0)    // 发送数据包大小，缺省是0。
  -E  --file       文件数据
  -e  --sign       添加“签名”
  -j  --dump       转储为十六进制数据包
  -J  --print      转储为可打印字符
  -B  --safe       启用“安全”协议
  -u  --end        告诉你什么时候--file达到EOF并防止倒回
  -T  --traceroute traceroute模式(等同使用 --bind 且--ttl 1)
  --tr-stop        在traceroute模式下收到第一个不是ICMP时退出
  --tr-keep-ttl    保持源TTL固定，仅用于监视一跳
  --tr-no-rtt      不要在跟踪路由模式下计算/显示RTT信息 ARS包描述（新增功能，不稳定）
ARS packet description (new, unstable)
  --apd-send       发送APD描述数据包(参见docs / APD.txt)

例1：防火墙测试

hping3 -S -c 1000000 -a 10.10.10.10 -p 21 10.10.10.10

例2：端口扫描

hping3 -I eth0 -S 192.168.10.1 -p 80

其中-I eth0指定使用eth0端口，-S指定TCP包的标志位SYN，-p 80指定探测的目的端口。

例3：拒绝服务攻击

hping3 -I eth0 -a 192.168.10.99 -S 192.168.10.33 -p 80 -i u1000

1、UDP ddos攻击：

hping3 -c 10000 -d 120 --udp -w 64 -p 80 --flood --rand-source www.baidu.com

2、ICMP ddos攻击：

hping3 -c 10000 -d 120 -

-icmp -w 64 -p 80 --flood --rand-source www.baidu.com

3、SYN ddos攻击：

hping3 -c 10000 -d 120 -S -w 64 -p 80 --flood --rand-source www.baidu.com

4、ACK ddos攻击：

hping3 -c 10000 -d 120 -A -w 64 -p 80 --flood --rand-source www.baidu.com

4、masscan

masscan是为了尽可能快地扫描整个互联网而创建的，根据其作者robert graham，这可以在不到6分钟内完成，每秒大约1000万个数据包。

参数：

IP地址范围，有三种有效格式，1、单独的IPv4地址 2、类似"10.0.0.1-10.0.0.233"的范围地址 3、CIDR地址 类似于"0.0.0.0/0"，多个目标可以用都好隔开
-p <ports,--ports <ports>> 指定端口进行扫描
--banners 获取banner信息，支持少量的协议
--rate <packets-per-second> 指定发包的速率
-c <filename>, --conf <filename> 读取配置文件进行扫描
--echo 将当前的配置重定向到一个配置文件中
-e <ifname> , --adapter <ifname> 指定用来发包的网卡接口名称
--adapter-ip <ip-address> 指定发包的IP地址
--adapter-port <port> 指定发包的源端口
--adapter-mac <mac-address> 指定发包的源MAC地址
--router-mac <mac address> 指定网关的MAC地址
--exclude <ip/range> IP地址范围黑名单，防止masscan扫描
--excludefile <filename> 指定IP地址范围黑名单文件
--includefile，-iL <filename> 读取一个范围列表进行扫描
--ping 扫描应该包含ICMP回应请求
--append-output 以附加的形式输出到文件
--iflist 列出可用的网络接口，然后退出
--retries 发送重试的次数，以1秒为间隔
--nmap 打印与nmap兼容的相关信息
--http-user-agent <user-agent> 设置user-agent字段的值
--show [open,close] 告诉要显示的端口状态，默认是显示开放端口
--noshow [open,close] 禁用端口状态显示
--pcap <filename> 将接收到的数据包以libpcap格式存储
--regress 运行回归测试，测试扫描器是否正常运行
--ttl <num> 指定传出数据包的TTL值，默认为255
--wait <seconds> 指定发送完包之后的等待时间，默认为10秒
--offline 没有实际的发包，主要用来测试开销
-sL 不执行扫描，主要是生成一个随机地址列表
--readscan <binary-files> 读取从-oB生成的二进制文件，可以转化为XML或者JSON格式.
--connection-timeout <secs> 抓取banners时指定保持TCP连接的最大秒数，默认是30秒。

例1：扫描指定网段范围的指定端口

masscan -p80,8080-8100 10.0.0.0/8 -- rate 1000000

例2：可以使用 --echo 将当前的配置输出到一个配置文件，利用 -c 来制定配置文件进行扫描:

masscan -p80,8000-8100 10.0.0.0/8 --echo > scan.conf

masscan -c scan.conf --rate 1000

例3：获取Banner

masscan 10.0.0.0/8 -p80 --banners --source-ip x.x.x.x

例4：加载配置文件的方式运行

masscan 10.0.0.0/8 -p80 -c masscan.conf

内容：

rate = 100000
output-format = xxx
output-status = all
output-filename = xxx.xxx
ports = 0-65535
range = 0.0.0.0-255.255.255.255
excludefile = exclude.txt

5、thcping6

黑客选择的IPv6攻击工具包(又名thc-ipv6)

vanhauser-thc/thc-IPv6：IPv6攻击工具包 (github.com)

6、unicornscan

Unicornscan 是一个新的信息收集引擎，主要用于安全研究和通讯测试，主要特点是精确、灵活而且高效。

发包探测并根据接收到的回包判断端口是否开放

TCP :基于三次握手判断

UDP :无连接，必须基于应用层指令

发包太快:对带宽和本机资源消耗大(自杀)

回包太慢:超时时间过快来不及收包

另一个名称 us

参数：

us 1.1.1.1默认只扫描TCP常用端口
-i          指定网卡接口
-p         指定目标端口
-s         指定源地址
-B         指定源端口
-H         结果显示主机名
-l           记录日志结果
-L          超时时间
-r          每秒发包总数(默认300 pps )
-R         发包次数
-t          指定TTL值
-T         指定ToS值

-z         嗅探收包
-v         显示详细信息
-W        保存收包
-G        payload组编号
-m        扫描方式
U         UDP协议
sf         TCP连接扫描
T          TCP Syn扫描
           syn[Ss]、fin[Ff]、 urg[Uu]、 psh[Pp]、 ack[Aa] , ece[Ee], cwr[Cc]

二、路由分析

1、0trace.sh

0trace是通过建立一条tcp连接（可以是http或者smtp等）来列举出这条连接上每一跳的情况。这样便可以通过几乎所有的状态型防火墙，从而避免了tcptraceroute的丢包状况。0trace本身不是直接进行探测，而是运行另一程序执行来分析路由，例如 telnet target 80，对待测目标发送http封包，通常http封包不会被防火墙阻挡，可以正确达到目标，而0trace则主动追踪封包经过那些路径以及TTL而到达探测得目的。

参数：

root@kali:~# 0trace.sh --help

Usage: 0trace.sh iface target_ip [ target_port ]

2、intrace

InTrace是一款类似于Traceroute的路由跟踪工具。但它不同的是，他不主动发送数据包，而是通过监听当前主机和目标主机的数据包，进行分析，从而获取路由信息。这样既可以进行网络侦查，又可以绕过防火墙的限制，避免被防火墙发现。该工具使用非常简单，只要开启监听，然后等待获取和目标主机的数据包，然后就可以获取路由跟踪信息了。

参数

intrace <-h hostname> [-p <port>] [-d <debuglevel>] [-s <payloadsize>] [-4] [-6]

3、iraps-ass

参数：
ass [-v[v[v]]] -i <interface> [-ApcMs] [-P IER12]
[-a <autonomous system start> -b <autonomous system stop>]
[-S <spoofed source IP>] [-D <destination ip>]
[-T <packets per delay>]
[-r <filename>]

4、irapss-cdp

参数：

cdp [-v] -i <interface> -m {0,1} ...

Flood mode (-m 0):
-n <number>     number of packets
-l <number>     length of the device id
-c <char>       character to fill in device id
-r              randomize device id string

Spoof mode (-m 1):
-D <string>     Device id
-P <string>     Port id
-L <string>     Platform
-S <string>     Software
-F <string>     IP address
-C <capabilities>
        these are:
        R - Router, T - Trans Bridge, B - Source Route Bridge
        S - Switch, H - Host, I - IGMP, r - Repeater

5、netdiscover

Netdiscover是一种网络扫描工具，通过ARP扫描发现活动主机，可以通过主动和被动两种模式进行ARP扫描。通过主动发送ARP请求检查网络ARP流量，通过自动扫描模式扫描网络地址。本文介绍Netdiscover的安装和使用方法。

参数：

-i device	网络接口
-r range	扫描范围，例如192.168.0.0/24，仅支持/8, /16和/24
-l file	扫描范围列表文件，每行一个范围
-p	被动模式：不发生任何报文，仅嗅探
-m file	扫描已知Mac地址和主机名的列表文件
-F filter	自定义pcap filter表达式(默认“arp”)
-s time	每个ARP请求间的休眠时间(毫秒,默认1ms)
-c count	发送每个ARP请求的次数，用于丢失数据包的网络，默认1次
-n node	扫描最后的源IP，默认为67(x.x.x.67),允许范围为2-253
-d	忽略自动扫描和快速模式的主配置文件,扫描默认的范围和IP
-f	启用快速模式扫描,扫描每个网段的.1、.100 和 .254
-P	产生输出到文件或者其他解析程序，扫描完成后退出，例如：`netdiscover -P -r 192.168.20.0/16
-L	与-P类似，但在主动扫描后继续捕获ARP包
-N	不打印表头，仅在-P 或者-L启用时有效
-S	已弃用

q：退出帮助信息界面，或者退出扫描（或者Ctrl+c退出）
j：向下滚动（或者使用下方向箭头）
k：向上滚动（或者使用上方向箭头）
.：向上翻页
,：向下翻页

扫描结果视图：
a:显示ARP响应列表

r：显示ARP请求列表

u：显示检测到的唯一主机

例1:扫描指定接口

$ netdiscover -i eth0

例2：扫描指定范围

$ netdiscover -i eth0 -r 192.168.0.0/16

6、netmask

netmask可以在 IP范围、子网掩码、cidr、cisco等格式中互相转换，并且提供了IP地址的点分十进制、16进制、8进制、2进制之间的互相转换！

参数：

 netmaks -h
 This is netmask, an address netmask generation utility
Usage: netmask spec [spec ...]
  -h, --help                   Print a summary of the options
  -v, --version                Print the version number
  -d, --debug                  Print status/progress information
  -s, --standard               Output address/netmask pairs（转换到标准的 ip地址/子网掩码）
  -c, --cidr                   Output CIDR format address lists（转换到CIDR格式）
  -i, --cisco                  Output Cisco style address lists（转换到Cisco反向子网码）
  -r, --range                  Output ip address ranges（转换到IP地址范围）
  -x, --hex                    Output address/netmask pairs in hex（转换到16进制）
  -o, --octal                  Output address/netmask pairs in octal（转换到10进制）
  -b, --binary                 Output address/netmask pairs in binary（转换到2进制）
  -n, --nodns                  Disable DNS lookups for addresses
  -f, --files                       Treat arguments as input files
Definitions:
  a spec can be any of:
    address              单独IP
    address:address      开始IP:结束IP
    address:+address     开始IP:+IP个数
    address/mask         IP/掩码
  an address can be any of:
    N           decimal number
    0N          octal number
    0xN         hex number
    N.N.N.N     dotted quad
    hostname    dns domain name
  a mask is the number of bits set to one from the left

例1：ip范围转换到cidr格式

netmask -c 192.168.0.0:192.168.2.255
192.168.0.0/23
192.168.2.0/24

例2：ip范围转换到标准的子网掩码格式

netmask -s 192.168.0.0:192.168.2.255
192.168.0.0/255.255.254.0
192.168.2.0/255.255.255.0

三、情报分析

1、maltego

Maltego是一款非常优秀的信息收集工具。与其他工具相比，不仅功能强大，而且自动化水平非常高，不需要复杂的命令，就能轻松的完成信息收集。

网上找了一些资料都是基础的教学，找了一些比较详细的

转自：对maltego的界面理解 - stage/ - 博客园 (cnblogs.com)

Maltego4.0.11中文汉化版 - FreeBuf网络安全行业门户

2、spiderfoot

spiderfoot是一款侦察工具，可自动查询 100 多个公共数据源 (OSINT)，以收集有关 IP 地址、域名、电子邮件地址、姓名等的情报。您只需指定要调查的目标，选择要启用的模块，然后 SpiderFoot 将收集数据展示给你。SpiderFoot 将扫描返回的数据将揭示有关目标的大量信息，从而深入了解可能的数据泄漏、漏洞或其他敏感信息，这些信息可在渗透测试、红队演习或危险情报中被利用。

SpiderFoot的图形模式

SpiderFoot和其他扫描工具一样，有图形模式和终端模式两种。要在 Web UI 模式下启动 SpiderFoot，您需要告诉它要监听的 IP 和端口。下面的示例将 SpiderFoot 绑定到端口 5001 上的 localhost (127.0.0.1)：

参数：

options:
  -h, --help              show this help message and exit
  -d, --debug           Enable debug output.
  -l IP:port               IP and port to listen on.
  -m mod1,mod2,...      Modules to enable.
  -M, --modules         List available modules.
  -C scanID, --correlate scanID
                        Run correlation rules against a scan ID.
  -s TARGET             Target for the scan.
  -t type1,type2,...    Event types to collect (modules selected automatically).
  -u {all,footprint,investigate,passive}
                        Select modules automatically by use case
  -T, --types           List available event types.
  -o {tab,csv,json}     Output format. Tab is default.
  -H                    Don't print field headers, just data.
  -n                    Strip newlines from data.
  -r                    Include the source data field in tab/csv output.
  -S LENGTH             Maximum data length to display. By default, all data is shown.
  -D DELIMITER          Delimiter to use for CSV output. Default is ,.
  -f                    Filter out other event types that weren't requested with -t.
  -F type1,type2,...    Show only a set of event types, comma-separated.
  -x                    STRICT MODE. Will only enable modules that can directly consume your target, and if -t was specified only those events will be consumed by modules. This overrides -t and -m
                        options.
  -q                    Disable logging. This will also hide errors!
  -V, --version         Display the version of SpiderFoot and exit.
  -max-threads MAX_THREADS
                        Max number of modules to run concurrently.

3、theHarvester

参数：

  -h, --help               show this help message and exit     显示帮助信息并退出
  -d, --domain          DOMAIN Company name or domain to search.    要搜索的公司名称或域名
  -l, --limit           LIMIT Limit the number of search results, default=500.  采集特定数量的结果，不指定情况下，默认为500
  -S, --start           START Start with result number X, default=0.    从采集到的信息编号“X”处开始执行采集，默认从0开始
  -g, --google-dork     Use Google Dorks for Google search.     使用google Dorks进行google搜索。 （一般情况下不用，你懂的）
  -p, --proxies         Use proxies for requests, enter proxies in proxies.yaml.    对信息采集的请求使用代理
  -s, --shodan          Use Shodan to query discovered hosts.       使用shodan查询发现的主机
  --screenshot Take screenshots of resolved domains specify output directory:       对解析域的页面进行截图，需指定截图文件存放目录
        --screenshot output_directory       截图保存目录
  -v, --virtual-host    Verify host name via DNS resolution and search for virtual hosts.       通过DNS解析主机名并搜索虚拟主机（没搞懂）
  -e, --dns-server DNS_SERVER DNS server to use for lookup.     指定DNS解析服务器
  -t, --dns-tld DNS_TLD  Perform a DNS TLD expansion discovery, default False.      执行DNS TLD扩展发现，默认为False状态
  -r, --take-over       Check for takeovers.    检查接管？？？（我估计可能是设置一个指定的标地信息，当采集到该标地信息的时候停止采集进程，也不晓得对不对，哪位小伙伴知道的话欢迎留言）
  -n, --dns-lookup      Enable DNS server lookup, default False.        启用DNS服务器查找，默认为False状态                                                                                                     
  -c, --dns-brute       Perform a DNS brute force on the domain.        进行DNS域解析暴力破解？？？                                                                                                           
  -f, --filename        Save the results to an HTML and/or XML file.    指定输出文件名，格式支持HTML和XML                                                                                                       
  -b SOURCE, --source SOURCE                                                                                                                                                   
                        baidu, bing, bingapi, bufferoverun, certspotter, crtsh, dnsdumpster, duckduckgo, exalead, github-code, google, hackertarget, hunter, intelx,           
                        linkedin, linkedin_links, netcraft, otx, pentesttools, projectdiscovery, qwant, rapiddns, securityTrails, spyse, sublist3r, threatcrowd, threatminer,  
                        trello, twitter, urlscan, virustotal, yahoo     指定采集信息的源（如百度，必应，必应API，github-code，谷歌，推特等）

常用参数：

-d：指定搜索的域名或网址
-b：指定采集信息的源（如baidu，biying，google）
-l：指定采集信息的返回数量，默认500
-f：输出文件名并保存采集结果，可以保存为HTML或XML格式；如果不指定，采集信息仅作屏幕显示

4、twofi

参数：

$ twofi -h
twoif 2.0-beta Robin Wood (robin@digininja.org) (www.digininja.org)
twoif - Twitter Words of Interest

Usage: twoif [OPTIONS]
        --help, -h: show help
        --config <file>: config file, default is twofi.yml
        --count, -c: include the count with the words
        --min_word_length, -m: minimum word length
        --term_file, -T <file>: a file containing a list of terms
        --terms, -t: comma separated search terms
                quote words containing spaces, no space after commas
        --user_file, -U <file>: a file containing a list of users
        --users, -u: comma separated usernames
                quote words containing spaces, no space after commas
        --verbose, -v: verbose

5、urlcrazy

Typo域名是一类的特殊域名。用户将正确的域名错误拼写产生的域名被称为Typo域名。例如，www.baidu.com错误拼写为www.bidu.com，就形成一个Typo域名。对于热门网站的Typo域名会产生大量的访问量，通常都会被人抢注，以获取流量。而黑客也会利用Typo域名构建钓鱼网站。

Kali Linux提供对应的检测工具urlcrazy。该工具统计了常见的几百种拼写错误。它可以根据用户输入的域名，自动生成Typo域名；并且会检验这些域名是否被使用，从而发现潜在的风险。同时，它还会统计这些域名的热度，从而分析危害程度。

用途：

1、通过错误输入域名检测Typo Squatting误值域名攻击；

2、通过注册常见域名Typo来保护企业域名安全；

3、识别潜在的Typo域名；

4、在渗透测试过程中执行网络钓鱼攻击；

参数：

-k, --keyboard=LAYOUT      选项为：qwerty、azerty、qwertz、dvorak（默认值：qwerty）
-p, --popularity           通过谷歌查看域名受欢迎程度
-r, --no-resolve           不解析DNS
-i, --show-invalid         显示无效域名
-f, --format=TYPE          Human readable, JSON, or CSV (default: human readable)
-o, --output=FILE          输出文件
-n, --nocolor              禁用颜色
-d, --debug                为开发启用调试输出
-h, --help                 帮助
-v, --version              版本信息

例1：检测baidu.com的Typo域名

urlcrazy -i baidu.com

例2：保存结果到文件中

# -o 参数用于指定保存结果的文件
# -f 参数用来指定数据的保存格式。urlcrazy支持两种格式：human readable 和 CSV，默认为human readable