子域名查询工具:
Fierce 是使用多种技术来扫描目标主机IP地址和主机名的一个DNS服务器枚举工具。运用递归的方式来工作。它的工作原理是先通过查询本地DNS服务器来查找目标DNS服务器,然后使用目标DNS服务器来查找子域名。fierce的主要特点就是可以用来定位独立IP空间对应域名和主机名。
使用方法可以用以下指令查看:
fierce -h
参考如下:
# 使用命令: fierce [-dns example.com] [OPTIONS]
Options:
-connect [header.txt] 对非RFC1918地址进行HTTP连接(耗时长、流量大),默认返回服务器的响应头部。可通过文件指定HTTP请求头的Host信息,如:fierce -dns example.com -connect headers.txt
-delay <number> 指定两次查询之间的时间间隔
-dns <domain> 指定查询的域名
-dnsfile <dnsfile.txt> 用文件指定反向查询的DNS服务器列表
-dnsserver <dnsserver> 指定用来初始化SOA查询的DNS服务器。(仅用于出初始化,后续查询将使用目标的DNS服务器)
-file <domain.txt> 将结果输出至文件
-fulloutput 与-connect结合,输出服务器返回的所有信息
-help 打印帮助信息
-nopattern 不适用搜索模式查找主机。(此参数暂时没有用明白)
-range <1.1.1.1/24> 对内部IP范围做IP反查(此参数尚未用明白)。必须与dnsserver参数配合,指定内部DNS服务器,如: fierce -range 111.222.333.0-255 -dnsserver ns1.example.com
-search <Search list> 指定其他的域,在其他的域内进行查找(此参数没有用明白),如: fierce -dns examplecompany.com -search corpcompany,blahcompany
-tcptimeout <number> 指定查询的超时时间
-threads [number] 指定扫描的线程数,默认单线程
-traverse [number] 指定扫描的上下IP范围,默认扫描上下5各个。
-version 打印fierce版本
-wide 扫描入口IP地址的C段。产生大流量、会收集到更多信息.
-wordlist <sub.txt> 使用指定的字典进行子域名**
# [] 内的数据为可选数据、<> 内为必选数据
参考:
fierce -dns 域名
除了 fierce 外,还有其它的 whois host dig dnsenum dmitry 等。
如下:
whois 是一个标准的互联网协议,主要用来收集网络注册、域名、IP地址、自治系统等信息。
用法: whois 域名。
参考:
whois xxxxxx.com
host 向DNS服务器查询域名对应的IP地址,默认使用/etc/resolv.conf里的DNS服务器地址;也可以根据自己的需求指定DNS服务器地址;默认会搜索A记录、AAAA记录、MX记录(邮件解析)。
用法: host 域名(或者FQDN)[DNS服务器地址]。
参考:
host xxxxx.com [8.8.8.8]
dig 进行DNS查询,默认只返回A记录,若要查询所有记录,则将type类型改给any。
用法: dig 域名。
参考:
dig www.xxxxx.com
dnsenum 查询dns,用来收集域名对应的IP地址,DNS服务器地址、MX记录。
用法: dnsenum 域名。
参考:
dnsenum xxxxx.com
指定字典进行查询: dnsenum -f dns.txt[dns-big.txt] 域名。
dmitry 一体化信息收集工具。
| 选项 | 含义 |
| -o | 将输出保存到%host.txt或由-o文件指定的文件 |
| -i | 对主机的IP地址执行whois查找 |
| -w | 对主机的域名执行whois查找 |
| -n | 在主机上检索Netcraft.com信息 |
| -s | 执行搜索可能的子域 |
| -e | 执行搜索可能的电子邮件地址 |
| -p | 在主机上执行TCP端口扫描 |
| -f | 在显示输出报告过滤端口的主机上执行TCP端口扫描 |
| -b | 读取从扫描端口接收的横幅 |
| -t 0-9 | 扫描TCP端口时设置TTL(默认为2) |
用法: dmitry 域名。
参考:
dmitry www.xxxxx.com
下面是端口扫描工具:
关于nmap在以前的文章中有讲过:https://www.cnblogs.com/n5you/p/17467783.html
| 选项 | 含义 |
| -sS | TCP SYN扫描 |
| -p | 指定端口扫描 |
| -v | 显示扫描过程 |
| -F | 快速扫描 |
| -Pn | 禁止ping后扫描,跳过主机发现的过程进行端口扫描 |
| -o | 操作系统探测 |
| -A | 全面的系统扫描 |
| -sU | UDP扫描 |
| -sT | TCP扫描 |
| -sV | 版本探测 |
| -sP | ping扫描 |
| -sn | ping探测扫描主机, 不进行端口扫描 |
| -sA | 发送ACK探测存活 |
| -PR | ARP Ping 扫描,通常在扫描局域网时使用 |
| -n | 禁止反向域名解析 |
| -R | 反向域名解析 |
| -6 | 启用IPV6扫描 |
| –traceroute | 路由追踪 |
| –scrpt=vuln | 全面漏洞扫描 |
| -oN | 标准保存 |
| –append-output | 补充保存 |
用法: nmap 选项 目标域名或IP地址。
参考1进行操作系统版本探测:
nmap -O 192.168.1.1
参考2进行端口探测:
nmap -p 6379 192.168.1.1
参考2进行所有端口探测:
namp 192.168.1.1 -p 1-65535
还有 Masscan
针对 TCP 端口进行扫描,使用 SYN 扫描的方式,异步传输SYN数据包,不建立一个完全的 TCP 连接,而是首先发送一个 SYN 数据包到目标端口,然后等待接收。如果接收到 SYN-ACK 包,则说明该端口是开放的,此时发送一个 RST 结束建立过程即可;否则,若目标返回 RST,则端口不开放。产生的结果与最著名的端口扫描程序nmap相似。在内部,它更像scanrand、unicornscan和ZMap,使用异步传输。它是一个灵活的实用程序,允许任意地址和端口范围。
| 选项 | 含义 |
| -p | 指定端口扫描 |
| –rate | 指定发包速率,默认100 |
| –wait | 指定发送完包后的等待时间,默认是10秒 |
| –exclude | IP地址范围黑名单,防止masscan扫描 |
| –excludefile | 指定IP地址范围黑名单文件 |
| –includefile | 读取一个范围列表进行扫描 |
| –banners | 获取banner信息,支持少量的协议 |
| –adapter-ip | 指定发包的IP地址 |
| –adapter-port | 指定发包的源端口 |
| –adapter-mac | 指定发包的源MAC地址 |
| –router-mac | 指定网关的MAC地址 |
| -c | 读取配置文件进行扫描 |
用法: sudo masscan 目标IP --ports 端口范围
参考:
sudo masscan 192.168.1.1 --ports 1-65535
目录扫描工具:
dirb 基于字典的web目录扫描工具,采用递归的方式来获取更多的目录,可以查找到已知的和隐藏的目录,它还支持代理和http认证限制访问的网站在渗透测试过程中,是一个非常好用的工具。
| 选项 | 含义 |
| -a | 指定自定义USER-AGENT |
| -b | 不要挤压或合并给定URL中的/…/或/./序列 |
| -c | 为HTTP请求设置cookie |
| -E | 使用指定的客户端证书文件 |
| -f | 微调NOT_FOUND(404)检测 |
| -i | 使用不区分大小写的搜索 |
| -l | 找到时打印“Location”标题 |
| -N | 忽略此HTTP代码的响应 |
| -o | 将输出保存到磁盘 |
| -p | 使用此代理 |
| -r | 不要递归搜索 |
| -R | 交互式递归 |
| -S | 静音模式 ,不显示经过测试的单词 |
| -t | 不要在网址上强制使用结尾的"/" |
| -u <username:password> | 使用的用户名和密码 |
| -v | 也显示不存在的页面 |
| -x | 使用文件的扩展名扩大搜索 |
| -X | 使用此扩展程序扩大搜索 |
| -z | 使用此扩展程序扩大搜索 |
用法: dirb http://IP或者http://域名
参考:
dirb http://192.168.1.1
参考,使用/usr/share/wordlists/dirb/big.txt 字典来扫描Web服务:
dirb https://www.xxxxx.com /usr/share/wordlists/dirb/big.txt
目录扫描工具:dirbuster 是一个多线程的基于Java的应用程序设计蛮力Web应用服务器上的目录和文件名。
这是个可视化的操作工具,十分简单。
Nikto 是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。
主要功能:
1、SSL支持(带有OpenSSL的Unix或带有ActiveState的Perl / NetSSL的Windows )。
2、全面的HTTP代理支持。
3、检查过时的服务器组件。
4、以纯文本,XML,HTML,NBE或CSV保存报告。
5、可使用模板自定义报告。
6、扫描服务器上的多个端口,或着通过其他工具的输出(例如nmap)扫描多个服务器。
7、LibWhisker的IDS编码技术。
8、通过标题,网站图标和文件识别已安装的软件。
9、使用Basic和NTLM进行主机身份验证。
10、子域名猜测。
11、Apache和cgiwrap用户名枚举。
常规扫描:
nikto -host/-h http://www.xxxxx.com
指定端口扫描:
nikto -host/-h www.xxxxxx.com -p 端口
目录暴破并扫描:
nikto -host/-h http://www.xxxxxx.com -c all
扫描结果输出:
nikto -host/-h http://www.xxxxxx.com -o result.html -F htm
使用代理扫描:
nikto -host/-h http://www.xxxxxxx.com -useproxy http://127.0.0.1:8080
扫描交互参数:
Nikto 在执行命令行扫描过程中提供一些操作,可以了解扫描的一些进度信息。
具体怎么用,可以用以下指令查看:
nikto -h
使用参考,常规扫描:
nikto -host http://www.xxxxxx.com
指定端口扫描(https):
nikto -host https://www.xxxxxx.com -ssl -port 端口
对sqli-labs的网站进行漏洞扫描,并将结果输出到/root/result.htm:
nikto -host http://www.xxxxxx.com -c /sqli-labs -o /root/result.htm -F htm
对网站的子域名进行爆破,自己创建一个子域名字典(/root/sub.txt):
cat sub.txt
nikto -host http://192.168.1.1 -mutate 6 -mutate-option /root/sub.txt
标签:Kali,扫描,子域,指定,域名,端口,服务器,com From: https://www.cnblogs.com/n5you/p/17468920.html