Kali常用命令汇总

0. nmap

命令含义
一个用于网络发现和安全审计的开源网络扫描工具，通过发送特定的数据包来探测目标主机的端口连通性、服务类型、操作系统指纹及安全配置等，广泛应用于渗透测试、网络监控和漏洞评估场景

参数含义
-sS : 执行半开放连接扫描（SYN扫描），通过未完成的TCP三次握手探测开放端口
-p : 指定扫描端口范围（单个端口如80，端口范围如80-100，或组合如22,80,443）
-sV : 启用服务版本探测，识别目标端口提供的具体服务类型及版本信息
-O : 进行操作系统指纹识别，基于回应数据包特征判断目标系统类型
-A : 启用系统全面扫描模式，包含服务探测、操作系统识别和脚本扫描
-d : 设置详细程度，增加输出日志信息（debug模式）
-T : 调节扫描时序参数（0-5），控制扫描速度与隐蔽性平衡（T4为默认）
-oN : 将扫描结果输出到指定普通文本文件

使用样例
nmap -sS 192.168.1.100 -p 80,443
nmap -sP 192.168.1.0/24
nmap -sV 10.0.0.5
nmap -O 203.0.113.45
nmap -A example.com
nmap -d –script=vuln http://172.16.0.1

1. dirsearch

命令含义
一个基于Python的网站目录和文件枚举工具，利用多线程技术对目标网站进行Web目录爆破扫描。支持自定义字典、递归扫描、指定请求方法以及过滤无用响应代码，能够高效发现隐蔽的Web目录和潜在攻击面，常用于渗透测试的Web渗透阶段。

参数含义
-u : 指定目标网站的起始URL（必填参数）
-w : 自定义扫描字典路径（覆盖默认字典）
-t : 设置并发线程数量（优化扫描效率）
-e : 指定要扫描的文件扩展名（支持通配符，如*.php,.txt）
–exclude-codes : 根据HTTP状态码过滤无用响应（如排除403、404等代码）
-f : 根据内容长度过滤响应结果（单位：字节）
-r : 启用递归扫描模式（深入子目录层级）
-x : 设置扩展IP检测时的排除范围（常见于IPv4子网掩码）
-v : 显示详细扫描过程（verbose模式输出更多信息）
-m : 指定HTTP请求方法（GET或POST，可组合使用）
-b : 禁用SSL证书验证（跳过证书错误警告）
-k : 启用内容关键词匹配过滤（显示包含特定关键词的响应内容）
-z : 设置延迟阈值或单目录尝试次数（控制扫描行为）

使用样例
dirsearch -u https://example.com
dirsearch -u http://target-site -w /path/to/custom-dict.txt
dirsearch -u https://target-site/secret -t 30 -r
dirsearch -u https://vulnerable-site -e .bak,.php5 -f 1000
dirsearch -u http://example.com/api –exclude-codes 301,302 -v
dirsearch -u https://penetration-site -m POST -b -k ‘admin’

2. masscan

命令含义
一款高性能的网络端口扫描工具，专门用于快速发现互联网开放端口。采用异步传输技术实现每秒百万级扫描速度，支持IPv4和IPv6地址，常用于大规模网络资产测绘和安全评估。主要特点包括SYN扫描模式、自定义扫描速率、分布式扫描能力和端口服务识别功能

参数含义
-p : 指定扫描的端口范围（单个端口如80，范围如0-65535，或端口组如22,80-100）
–rate : 设置每秒发送的扫描包数量（最大可用100000）
–banners : 启用服务指纹识别，抓取开放端口的服务信息
–ports : 从指定文件加载端口列表进行扫描
–range : 定义IP地址扫描范围（支持CIDR格式和起止地址）
–open : 仅显示开放的端口（排除过滤/关闭状态）
–ipv6 : 启用IPv6地址扫描模式
–file : 从文件加载目标IP地址进行扫描
–wait : 设置扫描完成等待时间（单位：秒）

使用样例
masscan 192.168.1.0/24 -p 80,443 –rate=1000 –banners
masscan 203.0.113.0/30 -p top-1000 –ports=common_ports.txt
masscan ::/64 -p 22 –ipv6 –wait=5 > open_ssh_DEVICES.txt
masscan 10.0.0.0/24 0-65535 –range=0-50000 –open
masscan -p 53 –target-ip-file targets.txt –rate=50000 –banners

3. gobuster

命令含义
一款基于Go语言的高效Web内容发现工具，主要用于枚举Web服务器上的目录、文件、虚拟主机或DNS子域，默认使用GET请求进行探测，支持多线程并行扫描和多种扫描模式，常用于渗透测试中的网站结构探索和隐蔽资源挖掘

参数含义
-u : 指定目标URL（必须包含协议头http://或https://）
-e : 显示完整路径而非相对路径
-x : 指定待检测的文件扩展名（如.js,.csv）
-t : 设置并发线程数（优化扫描速度）
-r : 启用重定向跟随功能
-k : 忽略SSL/TLS证书验证错误
-d : 指定域名格式进行DNS子域枚举
-H : 添加自定义HTTP头
–timeout : 设置HTTP请求的超时时间（毫秒）
-f : 定义扫描类型（dir/vhost/dns/massdir/sitemap）
-w : 指定自定义字典/单词文件路径
-n : 跳过未修改时间信息的输出
-i : 仅显示实际存在的路径结果

使用样例
gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/common.txt
gobuster dir -u https://target.org -x php,txt -t 30 –timeout 5000
gobuster vhost -u http://192.168.1.100 -w /path/to/vhosts.txt -d example.com
gobuster dns -u example.net -w /subdomains-top1m-5000.txt -f dns
gobuster -u https://api.mysite.com -H ‘User-Agent:Mozilla/5.0’ -w api_endpoints.txt
gobuster dir -u http://10.0.0.5:8080 -r -k -w internal_paths.list
gobuster dir -u http://mirror.com -f massdir -w mirrors.txt -t 20
gobuster dir -u http://web.example.net -i -t 50 -w common_directories.txt
gobuster dir -u http://localhost:3000 –timeout 2000 -w brute_force_dictionary.txt
gobuster dir -u https://intranet.vm -f sitemap -k -t 100 –timeout 3000

4. fierce

命令含义
Fierce是一个专门用于执行DNS侦察的开源命令行工具，主要用于自动化检测目标域名的子域名泄露情况。其通过结合DNS查询、A记录收集和单词列表进行穷举式探测，支持多线程加速和常见边界扫描功能，常用于渗透测试中的信息收集阶段以发现隐藏在线资产

参数含义
-n : –domain [目标域名] 指定要侦察的主要域名
-l : –list [文件路径] 指定自定义子域名探测列表文件
-d : –deep 深度递归扫描模式，尝试解析更多层级的子域名记录
–dnssec : 启用DNSSEC信息验证和解析
–timeout : [毫秒数] 设置单次DNS查询超时时间优化查询效率
–threads : [线程数] 调整多线程扫描时的并发数（默认20）
–cidr-crawl : 自动爬取并分析目标域名关联的CIDR网络段
–ip : [IP地址] 仅扫描特定IP地址而不是子域名

使用样例
fierce -n example.com -l subdomains-top1mil-1000.txt –timeout 500
fierce -n mytarget.net -d –dnssec –threads 30
fierce -n bigcompany.org -cidr-crawl –output …/results/bigcompany_fierce.json
fierce -n bank.example –ip 192.168.1.50 –threads 10
cat ./custom_subdomains.list | fierce -n test.local –list –

5. dradis

命令含义
DraDIS是Kali Linux中集成的开源网络侦察框架，主要功能包括基于nmap和masscan的自动化主机存活检测、服务版本识别以及漏洞情报收集。该工具通过整合多种Recon模块和操作流程，提升了渗透测试中信息收集阶段的效率，支持输出测试数据到外部工具进行可视化展示

参数含义
-h : 显示帮助信息
-t : 指定目标IP地址/域名
-u : 指定处理的URL地址
-c dir : 检查指定侦察目录中的模块可用性列表
-m module : 选择要运行的侦察模块
-cp : 清除当前目录下的所有持久化进程

使用样例
dradis -t 192.168.1.1 -m _nmap_top100_allTCP_enum
dradis -u example.com -m _masscan_80-443_UDP
dradis -c scripts/recon-checks -m _nmap_http_fingerprint
dradis -t [2001:db8::1] -m _custom_openvas_check -cp

6. feroxbuster

命令含义
一款基于Rust语言的Web目录/文件模糊测试(fuzzing)工具，采用递归多线程方式枚举潜在的隐藏Web路径。通过组合词库与常见扩展名进行批量请求，常用于信息搜集阶段发现表单登录、未授权接口等安全风险。内置幂等性约束避免重复访问，支持响应状态码过滤与定制化扩展名组合，具备低网络阻塞特性

参数含义
–url : 指定目标URL地址作为扫描入口点
–stdin : 从标准输入读取URL列表进行批量扫描
-w,–wordlist : 指定自定义词典文件路径（默认使用内置词库）
–filter : 按HTTP状态码过滤响应结果（如403|200表示显示403和200响应）
–scan-depth : 控制递归扫描的最大深度层级（默认为4级）
–no-server-skip : 强制不跳过包含服务器头字段的响应（防止误判）
–ipv6 : 启用IPv6地址的隐写扫描特性（针对IPv6地址解析的特殊场景）
–fx,–common-extensions : 启用常见文件扩展名组合（如.php,.html,.txt等）
–tor : 启用Tor代理隐藏扫描发起方IP地址

使用样例
feroxbuster –url https://example.com –fx
feroxbuster –stdin < ips.txt -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt –filter 403
echo ‘http://target.com’ | ferox -w /path/to/custom-wordlist.txt –scan-depth 3 –ipv6
feroxbuster –url https://vuln-site.org -w large-dict.txt –filter 200,301 –tor
feroxbuster –url http://192.168.1.100:8080 –no-server-skip –stdin < target-urls.txt

7. dirb

命令含义
dirb是一个基于Perl的Web目录扫描工具，通过暴力破解的方式尝试发现Web服务器上的隐藏目录和文件，常用于渗透测试中的Web应用路径枚举和敏感目录探测。其工作原理是向目标URL发送大量常见路径请求，根据响应代码判断有效路径。

参数含义
-u : 指定目标URL地址
-w : 使用自定义的字典文件进行扫描
-l : 使用多线程模式提升扫描速度
-o : 将扫描结果输出到指定文件
-T : 设置每个线程的超时时间
-X : 定义需要排除的响应代码（避免无效路径）
-N : 忽略错误日志
-r : 递归扫描子目录
-O : 指定用户代理字符串
-S : 显示所有扫描结果，包括404状态码

使用样例
dirb http://example.com
dirb -u http://target.site -w /path/to/dir_list.txt -l
dirb http://192.168.1.100 -o scan_result.txt -T 5
dirb -u https://secure-co.download/X -X 403,500 -r
dirb http://oldblog.download/admin -O ‘Mozilla/4.0’

8. amass

命令含义
Amass是开源的域收集和子域枚举工具，主要用于网络安全研究和渗透测试中的资产测绘阶段。其核心功能通过智能枚举技术主动发现目标域名的子域、DNS记录和关联IP地址信息，支持多种网络查询方式和第三方API的集成，可生成可视化网络相关信息图谱

参数含义
-d : 主目标域名（必填参数）
-passive : 启用被动模式，不执行主动网络扫描
-active : 强制使用主动扫描技术枚举子域
-brute : 允许使用暴力破解方式进行子域枚举
-min-dns-records : 设置最小DNS记录数量阈值
-graph : 导出资产关系的图形化报告（支持dot格式）
-o : 指定输出结果的文件路径

使用样例
amass enum -d example.com -passive
amass enum -d target.org -active
amass enum -d insecure.site -brute -min-dns-records 50
amass enum -d company.co -graph network.dot
amass enum -d scan.me -o /root/reports/amass_results.txt

9. assetfinder

命令含义
一个高效的子域名和资产发现工具，主要用于识别目标域的关联子域名、IP地址及开放端口等信息。基于网络爬虫技术主动搜索在线资产，并结合DNS记录和证书信息进行扩展，适用于渗透测试中的信息收集阶段，可帮助发现潜在攻击面和隐藏资产。

参数含义
-d : 指定目标域名，用于资产发现的核心查找对象
-subs : 将发现的子域名以文件形式导出（后缀可自定义）
-dir : 定义存储资产信息的目录路径（默认为当前路径）
-t : 设置并发连接线程数（影响扫描速度但可能触发服务限制）
–include-ipv4 : 包含IPv4地址信息的发现和记录
–include-ipv6 : 包含IPv6地址信息的发现和记录
-timeout : 定义HTTP请求超时时间（单位：秒）
-insecure : 跳过HTTPS证书验证，用于避免证书错误导致的扫描失败
-output-file : 直接指定输出文件的完整路径和名称

使用样例
assetfinder –include-ipv4 example.com > assets.txt
assetfinder -d example.org -subs -dir ./results
assetfinder -t 50 -insecure https://www.sample-site.com
assetfinder –include-ipv6 -output-file /var/scans/ipv6_assets.txt test.com
assetfinder -timeout 10 -d mybusiness.net | grep . | sort -u

10. httprobe

命令含义
用于探测目标主机HTTP服务可用性的网络扫描工具，通过发送HTTP请求验证域名/IP是否存活并返回HTTP响应状态码。常用于域名可用性检测、快速识别HTTP服务端口及协议类型，支持同时扫描HTTP和HTTPS协议，可并行处理多个目标请求

参数含义
-H : 指定包含待探测域名列表的输入文件，每个域名占一行
-p : 定义请求路径参数，可通过特殊字符如%3f参数检测漏洞
-s : 设置探测超时时间（单位：秒）
-x : 指定探测协议类型（http, https, both, auto），默认为自动协议
-t : 设置最大并发连接数（线程数）优化探测效率
-f : 强制后续参数作为完整URI检测（如带特定路径）
-skip-interactive : 跳过交互式提示直接执行扫描
-export-ja3 : 输出检测使用的ja3指纹信息用于协议识别

使用样例
echo ‘example.com’ | httprobe -x both -s 5
cat domains.txt | httprobe -x http -t 50
httprobe -H subdomains.txt -x https -p /admin -t 100
seq 80 81 | xargs -n1 -P20 -I{} echo ‘http://vulnerable.com:{}’ | httprobe
cat domain_list.txt | gau | cut -d ’ ’ -f2 | sort -u | httprobe -x auto -p %3f

11. dnsrecon

命令含义
一个基于Python的DNS侦察和枚举工具，用于主动查询目标域名的DNS配置和记录。其核心功能包括 DNS 记录枚举、区域传输尝试、子域暴力破解以及识别潜在的 DNS 配置错误，广泛应用于渗透测试、网络审计和红队活动中的目标信息收集。

参数含义
-d : 指定要侦察的目标域名（必填参数）
-n : 设置使用的DNS服务器IP地址，覆盖系统默认DNS
-a : 执行标准DNS枚举（包括A、AAAA、CNAME、TXT等常见记录）
–axfr : 尝试通过区域传输查询获取完整的DNS区域信息
-b : 启用子域暴力破解模式（需配合字典文件使用）
-w : 指定自定义字典文件路径，用于子域或记录类型暴力枚举
-t : 定义特定DNS记录类型进行查询（如mx、txt、soa等，可缩写为 –type）
–tcp : 强制使用TCP协议而非UDP发送DNS请求
–json : 将枚举结果导出为JSON格式文件
–csv : 将枚举结果导出为CSV格式文件

使用样例
dnsrecon -d example.com -a
dnsrecon –domain=target.org –type=mx –server=8.8.8.8
dnsrecon -d hacked.org –axfr
dnsrecon –domain=evilcorp.net -b –wordlist=subdomains.txt
dnsrecon -d lab.local –tcp –json=dnsrecon_output.json

12. dirsearch

13. nuclei

命令含义
一个快速、模块化的攻击面映射工具，支持自定义模板进行完整的漏洞检测、指纹识别和资产收集。通过多线程并行化技术加速扫描，利用RESTful API和集成社区模板实现自动化识别，适用于安全研究人员快速发现资产暴露与安全弱点

参数含义
-u : 指定目标URL或IP地址，支持列表文件输入（可通过逗号分隔多个目标）
-t : 调用预定义扫描模板（可指定模板目录或单个模板文件）
-c : 设置并发线程数量（默认值20，影响扫描速度与系统负载）
-v : 启用详细输出模式，显示每个检测请求的结果
-o : 定义输出文件路径，保存扫描结果（支持JSON、CSV等格式）
-m : 指定匹配条件的严格程度（接受match-type参数：status/error/banner/content/duration）
-multiple : 输出所有匹配结果而非仅首例（关闭首次命中即停止的机制）
-debug : 显示原始请求响应数据包用于调试分析
-filter : 触发结果输出前可过滤特定字段（如filter-status、filter-time等）

使用样例
nuclei -u http://example.com -t ~/nuclei-templates/tech/host-header-showcase.yaml
nuclei -u targets.txt -t cves/ -c 50
nuclei -u 192.168.1.0/24 -t network/discovery/ -o results.json
nuclei -u https://api.test.com:443 -m content,status -multiple
nuclei -u example.com -t infrastructure/dns/dns-shellshock.yaml –filter-time 500ms
nuclei -u http://intranet:8080 -v -debug

14. nikto

命令含义
Nikto是一个开源的Web服务器漏洞扫描工具，主要用于识别目标Web服务的配置缺陷、潜在漏洞、过期组件和危险文件。它通过发送多种请求测试服务器响应，全面评估其安全状况。支持多种扫描模式（完整扫描、快速扫描等），具备灵敏插件机制和自定义扫描规则功能，是渗透测试中必备的服务器指纹识别和漏洞初筛工具

参数含义
-h : 指定目标主机地址（可为域名或IP地址）
-T : 设置扫描线程数（优化扫描速度，平衡精度）
-output : 输出结果文件路径（支持log/文本/HTML格式）
–csv : 以CSV格式将结果保存到指定文件
-port : 设定要扫描的特定端口（覆盖全局配置）
-Plugins : 指定要使用的插件名称（提升针对性扫描能力）
-checkplugins : 验证插件集的完整性（确保扫描准确性）
-evasion : 启用HTTP请求 evasion 技术（绕过基础安全检测）
-update : 更新插件数据库（获取最新漏洞规则库）

使用样例
nikto -h example.com -T 20 -output scan_results.html
nikto -h 203.0.113.45 -port 80,443 -Plugins ssl-check
nikto -h [2001:db8::1] –csv=report.csv -checkplugins
nikto -h protected-site.org -evasion xx09 -T 5
nikto -h 192.168.1.0/24 -update -output=full_scan_results.log

15. aircrack-ng

命令含义
一款开源的无线渗透测试工具，主要用于破解WEP和WPA/WPA2-PSK协议的WiFi密码，也可用于嗅探无线通信数据包、进行 Dos 攻击等。通过监听无线流量和破解握手包，可恢复预共享密钥（PSK）或初始密钥流，常用于渗透测试及无线网络安全评估

参数含义
-b, –bssid : 指定要截取的接入点BSSID地址
-c, –channel : 设置无线网卡监听的频道（1-14或100-140）
-e, –essid : 限定需破解的无线网络名称（ESSID）
-i : 指定无线网卡接口（需处于监听模式）
-l, –output : 保存破解成功的密码文件路径
-p, –test-probs : 设置显示WPA handshake进度的刷新间隔(毫秒)
-s, –no-checksum : 保存decrypted IVs为嗅探模式（不校验校验和）
-v, –version : 显示程序版本信息
-w, –wordlist : 指定字典文件路径用于WPA/WEP破解
-a : 指定攻击方式（1=WEP IV切割攻击，2=WPA-PSK字典破解）
-m : 设置WEP密码的最小/最大长度（格式min,max）
-d, –dmesg : 从操作系统内核日志中获取无线驱动信息
–beacons : 强制将Beacons计入IVs计数中
–help : 显示完整可用参数列表及使用说明

使用样例
aircrack-ng -b 00:11:22:33:44:55 -c 6 -e CompanyWiFi -w /tmp/wordlist.txt capture*.cap
aircrack-ng -a 2 -e GuestNetwork /tmp/handshake-01.cap
aircrack-ng -b 10:00:00:00:00:01 -c 11 -v -i mon0 -l /tmp/password.txt .cap
aircrack-ng -d -c 100-140 united.cap
aircrack-ng -a 1 -s testfile.cap –test-probs 1000 –beacons wlan1