渗透测试-信息收集命令总结

信息搜集

DNS信息搜集：

ping域名/ ip  

whois域名/ ip //查看域名的详细信息

nslookup IP /域名

dig域名/ ip //查看域名解析的详细信息

挖@ <dns域名> <待查询域名>

    如：dig @ ns.watson.ibm.com testfire.net

dnsenum baidu.com

dnsenum -f dns.txt（域名字典）–dnsserver IP /域名–o output.txt

dnsmap baidu.com –w wordlist.txt –c output.csv

dnsmap baidu.com -w wordlist.txt -c output.csv（只能输出scv结果）

DNS枚举：

激烈-dns example.com 

激烈–dns example.com [–wordlist myWordList.txt]

通过查询DNS服务器枚举主机名

类似工具：subDomainsBrute和SubBrute等等

路由信息搜集：

traceroute目标域名 

指纹识别：

操作系统指纹：

nmap -O IP

使用辅助/扫描仪/ smb / smb_version

xprobe2 ip /域名  

xprobe2 -v -p tcp：80：打开IP

http指纹：

nc -nvv ip端口

telnet ip端口

httsquash –r IP /域名（回溯：pentest / scanners / httsquash）

whatweb IP /域名

探测

  nmap -T4 –sS –Pn IP

  nmap -T4 –sV –Pn IP

  amap –IP IP号

  amap –bqv IP扩展号

  zmap -p ip ip段-o output.txt -B 10M -i eth0

  nc v w 1目标z 11000

主机发现

arping -c请求包数量IP段

genlist -s 10.10.10。\ *

nbtscan 192.168.1.1-255

nmap -sP -PN IP段| grep为

nmap -PU -sn IP段

使用辅助/扫描仪/发现扫描

网络发现 

fping cat IP.txt | grep alive> alive.txt

fping -a -s -f /root/ip.txt 

* g文件中，每个ip或域名占一行。-g 10.10.10.0 10.10.10.255

主机发现，生成存活主机列表 

$ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 && grep“状态：启动” Discovery.gnmap | 剪切-f 2 -d''> LiveHosts.txt 

注：

我们可以利用其他在线主机作为诱饵主机，这样扫描时会尽量少留下我们自己的ip，增加追查难度。

体现：192.168.1.15,192.168.1.16是诱饵主机，192.168.1.12是我们要扫描的主机

nmap -D192.168.1.15,192.168.1.16，ME -p 21,22,80,443 -Pn 192.168.1.12

参数解释

-D开关表示实施一次诱饵扫描，-D后面紧跟选择好的诱饵主机的IP地址列表和这些主机都在线

-Pn不发ping请求包，-p选择扫描的端口范围。“ ME”可以替换为输入自己主机的IP。 

防火墙探测

版本探测：wafw00f URL

nmap扫描策略

nmap -sP -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 –源端口53 -T4 -iL tcp-allports-1M-IP

-iL tcp-allports-1M-Ips：使用产生的IP地址

–source-port 53：指定发送包的源端口为53，该端口是DNS查询端口，

一般的防火墙都允许来自此端口的数据包

-T：逐步等级为4，探测速度比较快

以TCP SYN包方式探测目标机的21,22,23,25,80,113,31339端口，以TCP ACK包方式探测对方80,113,443,10042端口

发送ICMP ECHO / ICMP TIMESTAMP包探测对方主机

只要上述的探测包中得到一个回复​​，就可以证明目标主机在线。

过滤状态：

nmap -sS -T4 www.fakefirewall.com //检测端口开放状态

nmap -sF -T4 www.fakefirewall.com // FIN扫描识别端口是否关闭

nmap -sA -T4 www.fakefirewall.com // ACK扫描判断端口是否被过滤

nmap -sW -p- -T4 docsrv.caldera.com //发送ACK包探测目标端口（只适合TCPIP协议栈）

FIN扫描：收到RST回复说明该端口关闭，否则说明是open或filtered状态。

ACK扫描：校准过滤的端口（无论打开，关闭）都会回复RST包。

例如7号端口，FIN中转换的状态是：打开或过滤，从ACK中转换的状态是未过滤的，那么该端口只能是open的。

电子邮件/用户名/子域名信息搜集工具

theharvester：theharvester -d baidu.com -l 100 -b bing（通过bing搜集）

通过LinkedIn.com查找搜集目标用户名

theharvester -d baidu.com -l 100 -blinkedin.com 

侦察工具

root @ kali：〜/ recon-ng＃./recon-ng

[recon-ng] [默认]>使用recon / companies-contacts / linkedin_crawl

[recon-ng] [默认] [linkedin_crawl]>设置网址http://www.xxx.com/

[recon-ng] [默认] [linkedin_crawl]>运行

查看联系人

[recon-ng] [默认]>显示联系人

利用搜索引擎搜集敏感信息：

以下命令可组合查询，威力更强大（最好不要带www，因为不带的话可以检测二级域名）

site：域名（指定查某站点的所有页面）

inurl：inc（sql，bak，sql，mdf，login）//搜索包含指定文件的页面

filetype：mdb //查找指定文件

inurl：“ Vieweframe？Mode = //搜索在线监控设备

intext：到父目录// IIS配置不当可遍历目录

父目录网站：testfire.net

例：

网站：abc.com inurl：登录（登录）：

网站：abc.com文件类型：mdb（inc，conf，sql）：

intext：到父目录intext：到父目录

site：abc.com inurl：asp？id =

site：example.com intext：管理|后台|登陆|

用户名|密码|验证码|系统|帐号|管理|管理员|登录|系统

网站：heimian.com inurl：登录|管理员|管理|经理| admin_登录|登录管理员|系统 

自动化信息搜集和安全审计工具：

独角兽

Unicornscan是一个信息收集和安全审计的工具。

我们H msf Iv IP p 165535  

我们H mU Iv IP p 1 65535  

H在生成报告阶段解析主机名Iv详细结果 

m扫描类型（sf：tcp，U：udp） 

Metagoofil元数据收集工具

$ python metagoofil.py d example.com t doc，pdf 200 l 50 o examplefiles results.html 

桑巴探测

利用smbclient工具可获得这个TCP的139端口服务的旗标

smbclient -L 192.168.50.102 -N 

smbclient连接到192.168.50.102，然后显示服务信息。-N选项表示没有目标的root密码。

我们可以利用这个服务的版本信息来搜索针对这个服务可能存在的漏洞，例如：searchploit samba

枚举Samba

nmblookup目标 

smbclient // MOUNT / share -I目标-N 

rpcclient U“”目标 

enum4linux目标

SNMP探测

1.windows：snmputil walk目标IP公共.1.3.6.1.4.1.77.1.2.25

（.1.3.6.1.4.1.77.1.2.25“目标标识符（OID）”，是为了获得更多信息）

2.linux：（net-snmp工具包）

snmpget -c public -v 2c目标IP public system.sysName.0（= wave）

snmpwalk -c public -v 2c目标IP＃重新窃取MIB（与OID有关） 

枚举SNMP

snmpget ­v 1 ­c  public  IP snmpwalk ­v 1 ­c  public  IP snmpbulkwalk ­v2c ­c  public  ­Cn0 ­Cr10 IP 

snmp自动探测工具

windows:  SNScan(www.foundstone.com/us/resources/proddec/scan.htm) linux: onesixtyonenmblookup -A target smbclient //MOUNT/share -I target -N rpcclient -U "" target   枚举Snmp挂载远程 Windows 共享文件夹smbmount //X.X.X.X/c$ /mnt/remote/ -o username=user,password=pass,rwmount –t smbfs //192.168.0.103/c /mnt/remote -o username=administratormount.cifs //192.168.2.230/job /mnt/share -o username=administartor%123456 smbclient //192.168.1.114/d -U administrator%333333

新版：

mount -t cifs -o username = user，pass = password //127.0.0.1/shared / mnt

linux下NetBIOS信息探测：nmbscan工具（nmbscan.g76r.eu/）

服务扫描

服务扫描

1.网站服务：

nmap -sS -PS80 -p 80 –oG web.txt

使用辅助/ sanner / http / webdav_scanner（Webdav服务器）

2.SSH服务：

地图

使用辅助/ sanner / ssh / ssh_version

猜解：使用辅助/ sanner / ssh / ssh_login

3.Telnet服务

    使用辅助/ sanner / telnet / telnet_version

4.FTP服务

    使用辅助/ sanner / ftp / ftp_version

    使用辅助/ sanner / ftp / anonymous //检测是否允许匿名登录

5.SMB服务：

    猜解：使用辅助/ smb / smb_login（易被记录）

使用exploit / windows / smb psexec＃凭据攻击登录域控制器

使用auxiliary / admin / smb / psexec_command＃命令执行

6.Oracle服务：

nmap -sS -p 1521 IP    

使用辅助/ sanner / oracle / tnslsnr_version

7.Mssql服务：

nmap -sS -p T：1433，U：1434 IP nmap -sU 192.168.33.130 -p1434

使用辅助/ sanner / mssql / mssql_ping

8，Mysql服务

使用辅助/ sanner / mysq / mysql_version发现mysql服务

使用辅助/扫描仪/ mysql / mysql

9.VNC服务

    使用辅助/ sanner / vnc / vnc_none_auth //探测VNC空密码

10.SNMP服务：

    使用辅助/ sanner / snmp / snmp_enum

    猜解：使用辅助/ sanner / snmp_login

    admsnmp IP –字文件snmp.password [-outputfile <名称>]

利用字符串获取系统信息：./ snmpenum.pl IP字符串cisco.txt（linux.txt）

11.OpenX11空密码：

使用辅助/扫描仪/ x11 / open_x11

当扫描到此突破的主机后可以使用xspy工具来监视对方的键盘输入：cd / pentest / sniffers / xspy /

xspy –显示192.168.1.100:0 –延迟100

google搜索密码相关语法

“登录名：”“密码=”文件类型：xls（搜索存储在excel文件中包含密码的数据）。

allinurl：auth_user_file.txt（搜索包含在服务器上的auth_user_file.txt的文件）。

文件类型：xls inurl：“ password.xls”（查找用户名和密码以excel格式）这个命令可以转换为“ admin.xls”。

intitle：登录密码（获取登陆页面的连接，登陆关键字在标题中。）

intitle：“ master.passwd”的索引（密码页面索引）

/备份（搜索服务器上的备份文件）的索引

intitle：index.of people.lst（包含people.list的网页）

标题：index.of passwd.bak（密码备份文件）

intitle：搜索数据库密码文件的“索引”。

intitle：“ .. etc的索引” passwd（安装密码建立页面索引）。

index.of passlist.txt（以纯文本的形式加载包含passlist.txt的页面）。

index.of.secret（显示包含机密的文档，.gov类型的网站除外）还可以使用：index.of.private

文件类型：xls用户名密码电子邮件（查找表格中包含用户名和密码的列的xls文件）。

14。“＃PhpMyAdmin MySQL-Dump”文件类型：txt（列出包含敏感数据的基于PHP的页面）

inurl：ipsec.secrets-history-bugs（仅包含超级用户才有的敏感数据）。还有一种旧的用法inurl：ipsec.secrets“持有共享机密”

inurl：ipsec.conf-intitle：联机帮助页

inurl：“ wvdial.conf” intext：“ password”（显示包含电话号码，用户名和密码的连接。）

18inurl：“ user.xls” intext：“ password”（显示用户名和密码存储在xls的链接。）

* 19文件类型：ldb admin（网络服务器查找存储在数据库中没有呗googledork删除了的密码。）

* 20inurl：search / admin.php（查找admin登陆的php页面）。如果幸运的话，还可以找到一个管理员配置界面创建一个新用户。

* 21 inurl：password.log文件类型：log。

* 22文件类型：reg HKEY_CURRENT_USER用户名（在HCU（Hkey_Current_User）路径中查找注册表文件（registyry。）。）

还有很多命令可以用来抓取取密码或者搜素机密信息。

“ http：//用户名：密码@ www…”文件类型：bak inurl：“ htaccess | 密码| 影子| ht users”（这条命令可以找到备份文件中的用户名和密码。） 

文件类型：ini ws_ftp pwd（通过ws_ftp.ini文件查找管理员用户的密码）

intitle：pwd.db（查找加密的用户名和密码）的“索引”

inurl：admin inurl：backup intitle：index.of（查找关键字包含admin和backup的目录。）

“ /的索引”“父目录”“ WS _ FTP.ini”文件类型：ini WS _ FTP PWD（WS_FTP配置文件，可以获取FTP服务器的进入权限）

ext：pwd inurl :(服务|作者|管理员|用户）“＃-FrontPage-”

文件类型：sql（“ passwd值*” |“密码值*” |“传递值**”）查找存储在数据库中的sql代码和密码。）