00:45

00:38:38

cupp #密码生成工具

git clone https://github.com/Mebus/cupp.git

#生成针对于某个人的独立的字典文件，针对某个人单独的暴力破解

#使用python编写，使用 python cupp.py -i启动程序，然后按照要求输入内容，然后会生成单独的密码文件

METADATA信息收集

Exif图片信息 

exiftool #提取图片中的信息，linux下

Foca #同样是图片信息提取软件，windows下

theharvester -d sina.com -l 300 -b baidu

#-d后面跟域名，表示对域名进行爆破，寻找MX，NS等记录，-b表示利用何种搜索引擎对其进行搜索；-l表示限制搜索结果的数量，一般的默认是50个。该命令实际上是命令行调用搜索引擎进行的搜索，并返回结果。

tmux #linux上的终端分屏工具

metagoofil -d sina.com -t pdf -l 100 -o test -f 1.html

#-d后面跟域名，-t pdf表示搜索pdf格式的文件，-l 100 表示搜索100条，-o test 表示工作目录 -f表示输出文件，该命令实际上是命令行调用搜索引擎进行的搜索，并返回结果。

meltego

图形信息查询工具

google搜索

+充值 -支付  #搜索网页包括“充值”但是不包括“支付”关键字的网页

“支付充值” #表示“”内的关键字完全匹配

北京 intitle:电子商务 intext:法人 intext:电话 #intitle表示搜索标题，intext表示搜索页面，这个表示在北京搜索标题中含有北京关键字，页面中含有法人和电话关键字的网页

北京  site:ailibaba.com inurl:contact #在ailibaba.com中搜索北京公司且url中含有contact关键字的网页（contact是联系人的缩写）

SOX filetype:pdf #搜索格式未pdf的SOX文件

payment site:fr #fr表示法国

SHODAN

搜索互联网设备

Banner：http、ftp、ssh、telnet

https:www.shodan.io

常见filter:

net:8.8.8.8 #查询IP地址信息

net:211.80.1.20/24 #查询这个网段的IP地址信息

country:CN #查询中国的IP地址

Country:CN city:beijing #查询中国北京的IP地址

port:22 #查询开放22端口的设备，在现代的扫描工具面前，将服务（如22，3389）开在非标准端口是及其幼稚的，因为现在的扫描工具根据Baner信息很容易得出该端口的服务

os:"windows 2000" #查找windows2000的主机

os:"windows"  #查找windows主机

os:windows #查找windows主机，可以家引号，也可以不加引号

country:CN  os:“windows”

hostname:baidu.com #查找主机名未baidu.com的服务器

server: ssh #搜索具体的服务，注意冒号后面有一个空格

net:211.80.1.20/24 country:CN city:beijing  port:22 #可以联合写

部分shodan搜索例子

200 OK cisco country:JP

user:admin pass:password

linux upnp actech

构造字符串，登录页面和登录成果后的页面字符串不一样，构造登录成果后的字符串进行搜索

dig和nslookup都是对已知的域名进行查询，利用区域传送可以发现未知的dns域名

DNS区域传送

dig @ns1.example.com sina.com axfr //axfr表示区域传送，利用ns1.example.com服务器找出所有的sina.com的域名（所有的*.sina.com，不仅仅是sina.com的）

区域传送时会用到TCP的53端口，UDP的53端口是用来出查询的

区域传送是为了保持所有dns域名服务器上的域名和解析一致，通常只发生在本域内部（全球根域有13个也进行区域传输），但是有些粗心的管理员的错误配置被攻击者利用，可能会导致区域传送到其它主机上。

host -T -l sina.com ns3.sina.com //-l就是进行axfr的全区域传送，-T表示使用TCP方式间，要对谁进行区域传送，必须是能够记录该域名的上层名字服务器

使用--help或-h查看使用帮助

为什么要做区域传输？为了知道该网内的所有主机服务器，从而针对性的攻击。

DNS字典爆破,所有的DNS爆破都差不多，都是利用字典进行域名爆破

fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt

//-dnsserver 8.8.8.8，指定dns服务器，-dns sina.com.cn指定需要查询的域名，-wordlist a.txt制定字典文件

dnsdict6 -d4 -t 16 -x sina.com

//-t 16表示可以同时并发16个线程，-d表示显示ipv6,4表示显示ipv4，-x表示使用字典（-s、-m、l、x、-u表示使用字典的差别，越往后越大），好像现在kali不带这个了？

dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -o sina.xml

//-f dnsbig.txt，指定字典，-dnsserver 8.8.8.8指定域名，sina.com需要爆破的域名，-o sina.xml可以选择导出，导出的文件名为sina.xml

dnsmap sina.com -w dns.txt

//-w dns.txt 利用文件爆破sina.com的域名

dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt //查询较快

//--lifetime 10指定超时时间为10秒，-t表示强度，brt表示爆破，-D dnsbig.txt表示指定使用字典

dbsrecon -t std -d sina.com -D dnsbig.txt

//标准的爆破，命令同上

DNS注册信息查询

whois

whois beijiait.com//whois后面直接跟域名，查询域名的注册信息

whois -h whois.apnic.net 192.0.43.10

PETS-渗透测试标准（七个阶段）

1.划定范围

nslookup -q=any 163.com 114.114.114.114 查询域名所有

text=spf1 include:spf.163.com -all    反垃圾邮件过滤；

pip install -upgrade pip

git clone https://github.com/andresriancho/w3af.git

cd w3af

./w3af_console

apt-get build-dep python-lxml

./tmp/w3af_dependency_install.sh