渗透工具使用及思路总结（持续更新）

扫描类

nmap

快速扫描开放端口

nmap --min-rate 10000 -p- 10.129.252.63

扫描详细全服务

nmap -sV -A -p 22,80 10.129.252.63
nmap -sV -A -p- 10.129.252.63

-l：显示正在监听的 TCP 和 UDP 端口；
-a：显示所有活动的 TCP 连接；
-A <网络类型>或 - <网络类型>列出该网络类型连线中的相关地址；
-n：以数字的形式表示地址和端口号；
-s：显示所有协议的统计信息；
-r：显示 IP 路由表的内容；
-p：显示每一个正在使用的活动连接程序识别码及程序名称；
-i：显示网络接口的统计信息；
-t：只显示与 TCP 协议有关的连接和端口监听状态；
-u：只显示与 UDP 协议有关的端口监听状态；
-w：只显示原始接口状态；
-sT 参数尝试同目标主机的每个 TCP 端口建立连接、观察有哪些端口处于开放状态以及所运行的有哪些服务
-O  探测主机操作系统；
-sV 探测端口上运行的软件
-sS 通过向目标的某一个端口发送 TCP SYN 包，然后根据对方不同的回应来判断该端口是否处于监听状态
-sA TCP ACK 扫描，只用来确定防火墙的规则集，本身并不扫描目标主机的端口
-sW 类似于 TCP ACK 扫描，可以检测到处于打开状态的端口
-PN 参数是强制 nmap 对这类主机进行扫描
-sF：向目标发送 TCP FIN 包，根据目标的响应进行判断
-sX：向目标发送 TCP NULL 包，根据目标的响应进行判断
-sN：向目标发送 FIN、PSH、URG 的包，根据目标的响应进行判断
-sR：用于确认是否是 RPC 端口
-sU：确认哪些是 UDP 端口处于开放的
-sP：向目标发送 TCP ACK 的包，如果有响应，则表明目标处于活动状态

目录扫描

dirb

dirb http://thetoppers.htb
dirb 目标 字典 参数

常用参数
-a 设置ua

-c 设置cookie带cookie扫描

-N 忽略某些响应码

-o 输出结果

-p 使用代理

-X 在每个测试目录上附加后缀

-z 设置毫秒延迟

-a  : Specify your custom USER_AGENT.
 -c  : Set a cookie for the HTTP request.
 -f : Fine tunning of NOT_FOUND (404) detection.
 -H  : Add a custom header to the HTTP request.
 -i : Use case-insensitive search.
 -l : Print "Location" header when found.
 -N : Ignore responses with this HTTP code.
 -o  : Save output to disk.
 -p  : Use this proxy. (Default port is 1080)
 -P  : Proxy Authentication.
 -r : Don't search recursively.
 -R : Interactive recursion. (Asks for each directory)
 -S : Silent Mode. Don't show tested words. (For dumb terminals)
 -t : Don't force an ending '/' on URLs.
 -u  : HTTP Authentication.
 -v : Show also NOT_FOUND pages.
 -w : Don't stop on WARNING messages.
 -X  / -x  : Append each word with this extensions.
 -z  : Add a miliseconds delay to not cause excessive Flood.

dirsearch

dirsearch -u http://thetoppers.htb

-u：指定网址
-e：指定网站语言
-w：指定字典
-r：递归目录（跑出目录后，继续跑目录下面的目录）
-random-agents： 使用随机UA

    -h, --help 查看帮助

    -u URL, --url=URL 设置url

    -L URLLIST, --url-list=URLLIST 设置url列表

    -e EXTENSIONS, --extensions=EXTENSIONS 网站脚本类型

    -w WORDLIST, --wordlist=WORDLIST 设置字典

    -l, --lowercase 小写

    -f, --force-extensions 强制扩展字典里的每个词条

    -s DELAY, --delay=DELAY 设置请求之间的延时

    -r, --recursive Bruteforce recursively 递归地扫描

    –scan-subdir=SCANSUBDIRS, --scan-subdirs=SCANSUBDIRS 扫描给定的url的子目录(用逗号隔开

    -t THREADSCOUNT, )

    –exclude-subdir=EXCLUDESUBDIRS, --exclude-subdirs=EXCLUDESUBDIRS 在递归过程中排除指定的子目录扫描(用逗号隔开)

    --threads=THREADSCOUNT 设置扫描线程

    -x EXCLUDESTATUSCODES, --exclude-status=EXCLUDESTATUSCODES 排除指定的网站状态码(用逗号隔开)

    -c COOKIE, --cookie=COOKIE 设置cookie

    –ua=USERAGENT, --user-agent=USERAGENT 设置用户代理

    -F, --follow-redirects 跟随地址重定向扫描

    -H HEADERS, --header=HEADERS 设置请求头

    –random-agents, --random-user-agents 设置随机代理

    –timeout=TIMEOUT 设置超时时间

    –ip=IP 设置代理IP地址

    –proxy=HTTPPROXY, --http-proxy=HTTPPROXY 设置http代理。例如127.0.0.1:8080

    –max-retries=MAXRETRIES 设置最大的重试次数

    -b, --request-by-hostname 通过主机名请求速度，默认通过IP

    –simple-report=SIMPLEOUTPUTFILE 保存结果，发现的路径

    –plain-text-report=PLAINTEXTOUTPUTFILE 保存结果，发现的路径和状态码

    –json-report=JSONOUTPUTFILE 以json格式保存结果

nikto

nikto -h http://192.168.107.142