1. 0trace、tcptraceroute、traceroute

   • 描述：進行路徑列舉時，傳統基於ICMP協議的探測工具經常會受到遮蔽，造成探測結果不夠全面的問題。與此相對基於TCP協議的探測，則成功率會有所提高，同時基於已經建立的合法TCP會話的探測則更具優勢，甚至可以探測到目標內網。雖然沒有銀彈，但結合多種技術手段，則可以收集更加完整的目標資訊，為後續滲透測試做準備。

2. Acccheck

   • 描述：近期洩露的NSA漏洞利用工具在全世界範圍內引起了一波又一波的攻擊事件，其中的漏洞利用工具大多數與微軟的SMB協議有關。歷史上SMB協議就曾經出現過MS08-067這樣具有里程碑意義的漏洞，直到今天還經常被人們提起。SMB實在是一個值得繼續深入挖掘的協議，除非微軟徹底放棄它。本工具是針對SMB協議的探測工具，但卻並不具備漏洞利用的能力。

3. arping

   • 描述：三層IP網路主要的物理連線裝置是路由器，路由器以自身路由表匹配流入的每個資料包，從而決定如何轉發資料包。作為局域二層網路主要的物理連線裝置，交換機通過識別目標MAC地址進行資料幀的轉發。這裡ARP協議負責將IP地址解析為對應的MAC地址，而arping的作用就是通過傳送解析資料包，掃描並發現目標的MAC地址。arping不受二層地址欺騙的影響，是二層網路掃描最重要的工具。

4. automater

   • 描述：開源智慧不但可以應用於滲透測試階段的資訊收集，更可用於事件響應階段，來幫助應急響應人員提高問題診斷和威脅評估的工作效率。automater是一個基於python語言開發的開源資訊收集工具，它內建了十多個用於資訊收集的開源資訊平臺，可依賴IP、URL、雜湊值等資訊進行自動搜尋。Kali Linux在預設安裝的情況下，automater在訪問https站點時會發生報錯，這個小坑需要我們手動繞過。

5. braa

   • 描述：完全依靠人工來監控大型網路的執行狀態，是一個令人崩潰的任務。SNMP協議可以大大簡化系統和網路管理員的工作，實現問題的快速定位和排查。但缺乏安全意識的管理員經常會採用SNMP的預設配置，這會造成系統資訊的洩漏，甚至裝置直接被攻擊者控制和篡改。braa是一個為快而生的SNMP服務掃描器，其作者甚至不惜完全重新實現了SNMP協議棧，使其尤其適合於大量併發的掃描任務，而佔用的系統資源卻非常有限。

6. cdpsnarf

   • 描述：目前安全研究人員更多關注系統和應用層面的漏洞，關注低層協議漏洞的人寥寥無幾，甚至是知之甚少。雖然其中深層原因比較複雜，我不想過多評論，但這一現狀對安全業界而言，多少還是令我有些吃驚的。在每個人都大談攻擊面的當下，居然大家都選擇性忽視了那麼重要的一個短板。cdpsnarf是專門針對二層的思科發現協議的資訊收集工具，通過它可以被動收集思科裝置的系統版本資訊等，為後續滲透提供可選擇的路徑。此工具本身雖然功能簡單，但要想正確使用，你必須對CDP協議原理具有基本的瞭解，同時這對日後的CDP欺騙攻擊也是必備的基礎。本次內容，我結合GNS3模擬器生成思科路由器，現場抓包分析CDP協議資料包。

7. cdp

   • 描述：二層網路安全通常是個三不管的地帶，網路管理員認為這是安全的事，安全工程師則認為這種網路連通性的問題與自己無關，但正因如此，二層威脅往往更加危險。與cdpsnarf只是用來獲取CDP報文資訊不同，cdp命令可以主動向網路中發出CDP通告報文，從而實現洪水和欺騙攻擊。洪水式攻擊主要目的在於耗盡網路裝置的記憶體，使其宕機重啟，破壞網路的可用性。欺騙攻擊（cdp spoofing）則可以在某些網路環境中，以更加詭異的思路竊取系統機密資訊，甚至是修改伺服器配置；即便只停留在二層網路的範疇，cdp也可能造成vlan hopping的攻擊效果，擊破二層的網路隔離。

8. casefile

   • 描述：在美國大片裡，警察經常會把案情相關人員的照片貼在白板上，然後用線條勾繪出人物彼此之間的關係，以此來理清線索和幫助案情分析，這是調查人員經常採用的一種有效的辦案手段。作為滲透測試者和安全事件調查人員，非常有必要借鑑這種調查和分析的手段，幫助我們更加縝密的審視目標，發現隱藏在零散資訊之間的模糊線索。casefile就是這樣一個離線式的人工情報整理分析工具，同時為了滿足團隊成員協同配合的需要，casefile還提供了線上聊天和圖形共享編輯等功能，是所有調查人員有力的助手工具。

9. dmitry

   • 描述：主動和被動資訊收集是滲透測試初期的必須工作，而且資訊收集的質量，往往直接決定了滲透測試的最終成敗。但資訊情報的收集來源眾多，這給滲透測試者造成了不小的困擾。藉助於優秀的整合功能資訊收集工具，可以大大提高我們的工作效率，dmitry就是其中的優秀一例。它不但支援whois資訊收集，而且支援多種搜尋引擎的自動資訊蒐集，但為了取得更好地使用體驗，請提前自備翻牆利器，否則效果會大打折扣。

10. dnmap

    • 描述：nmap是個優秀的網路掃描器，但面對大量地址範圍的掃描任務時，它的效率問題一直是異見者惟一能找到的批評點。Dnmap是基於nmap強大的掃描功能之上，開發出來的一個分散式架構，它將掃描的工作仍然交給擅長掃描的nmap來做，而Dnmap自己則只負責分散式掃描任務的分發、管理、日誌和監控等工作。軟體架構上dnmap採用了C/S架構，通訊基於TLS證書進行加密，同時考慮了程式碼注入等安全因素。雖然已經多年沒有更新，但依然是面對大量掃描任務時的不二之選。

11. dnsenum

    • 描述：滲透測試工作的起點幾乎都始於一個域名，如何通過一個平平無奇的域名，去發現目標機構的所有活動主機、開放埠、應用服務，乃至整個潛在的攻擊面，這是滲透測試資訊收集階段最關鍵的任務之一。dnsenum是一個綜合型的域名相關資訊收集工具，它支援字典爆破、反向查詢、搜尋引擎、註冊資訊、區域傳輸等多種手段，它的功能幾乎涵蓋了所有域名資訊搜尋的相關技術。雖然受我國網路稽核現狀的影響，某些功能無法正常使用，但仍然不失為一款優秀的資訊收集工具。

12. dnsmap

    • 描述：滲透測試工作的起點幾乎都始於一個域名，如何通過一個平平無奇的域名，去發現目標機構的所有活動主機、開放埠、應用服務，乃至整個潛在的攻擊面，這是滲透測試資訊收集階段最關鍵的任務之一。dnsmap是一個功能專一的域名資訊收集工具，它基於字典對目標域名進行主機和子域名的爆破，雖然缺乏豐富的功能特性支援，但dnsmap一直以其穩定快速的執行效果，證明自己是一款優秀的資訊收集工具。

13. dnsrecon

    • 描述：滲透測試工作的起點幾乎都始於一個域名，如何通過一個平平無奇的域名，去發現目標機構的所有活動主機、開放埠、應用服務，乃至整個潛在的攻擊面，這是滲透測試資訊收集階段最關鍵的任務之一。dnsenum是一個綜合型的域名相關資訊收集工具，它支援字典爆破、反向查詢、搜尋引擎、註冊資訊、區域傳輸等多種手段，它的功能幾乎涵蓋了所有域名資訊搜尋的相關技術。雖然受我國網路稽核現狀的影響，某些功能無法正常使用（除非你#翻#牆），但仍然不失為一款優秀的資訊收集工具。

14. dnswalk

    • 描述：dnswalk大概算不上一個常規滲透測試場景下會用到的工具，它更多的是被安全工程師和審計人員所使用，它的功能是用於檢查DNS區域檔案配置中的錯誤和問題，從而避免因DNS伺服器配置不當，而造成的功能、效能以及安全性的問題。其具體工作過程基於區域傳輸來獲得區域檔案，並對其實施檢查，因此axfr是其能夠正常工作的前提條件。

15. dnstracer

    • 描述：DNS解析分為遞迴查詢和迭代查詢兩種型別，通常從客戶端到本地快取伺服器之間只有遞迴查詢，因此在DNS完整的樹形結構中，我們從客戶端是很難看到整個域名解析的迭代過程，這在發生DNS域名劫持時，會給工程師分析問題帶來了不小的麻煩。但dnstracer等工具的出現彌補了這個不足，它使普通PC使用者也可以從DNS的根伺服器開始，逐級解析每一級域名的查詢過程，從而發現每一個域名伺服器是否已被劫持。2014年曾發生com域名伺服器被劫持的事件，導致國內使用者長達數週無法訪問微軟、蘋果等國外站點，這時dnstracer將可以快速為你定位問題。

16. amap

    • 描述：很多外行人士將網路掃描器認為是安全的全部，這固然是一種無智的偏見，但同時也充分證明了主動掃描器在安全領域的重要性。nmap是目前業界最知名的掃描器軟體之一，行業內外人士幾乎都曾使用過。但即使再優秀的掃描器，其掃描結果也一定存在誤報和漏報的情況，因此綜合多款不同掃描器的掃描結果，可能讓滲透測試者更加全面的瞭解目標系統。amap是最早被稱為下一代掃描器的軟體，它最早開始支援UDP協議和IPv6地址空間的掃描，可作為nmap重要的補充工具。同時amap還提供未知應用特徵的自動測定功能，讓我們可以方便定製掃描結果。

17. cookie-cadger

    • 描述：HTTP是一種無狀態的協議，也就是說從協議層面，每次HTTP訪問之間是沒有任何聯絡的，因此WEB應用開發人員必須從應用層面解決狀態跟蹤的問題，否則我們就沒有辦法確定資源的歸屬，現代WEB應用的場景將不復存在。目前Cookie是最普遍被採用的使用者會話狀態的跟蹤機制。cookie-cadger這個工具本身雖然已經略顯陳舊，而且部分功能已經無法正常使用，但它背後所透射出來的工作原理卻具有廣泛的普遍適用價值，是每個WEB安全研究人員必須清晰理解的。

18. arp-scan

    • 描述：三層IP網路主要的物理連線裝置是路由器，路由器以自身路由表匹配流入的每個資料包，從而決定如何轉發資料包。作為局域二層網路主要的物理連線裝置，交換機通過識別目標MAC地址進行資料幀的轉發，這裡arp協議負責將IP地址解析為對應的MAC地址，而arp-scan命令的作用就是通過傳送解析資料包，掃描並發現目標MAC地址。arp掃描不受二層地址欺騙的影響，同時arp-scan豐富的特性，使滲透測試者可以定製傳送多種型別的報文，滿足不同環境的需要，是二層網路掃描非常重要的工具。

19. dig

    • 描述：瞭解DNS的工作原理，並具有各種記錄的查詢能力，不但對系統管理員是必備的技能，對於滲透測試人員則更加重要。dig作為功能最為全面的DNS記錄查詢工具，具有靈活、易用、輸出清晰等特點，而且其全面支援所有Class以及所有type型別的記錄查詢，是BIND開發者推薦的首選工具。靈活掌握其使用方法，可為滲透測試者提供大量的有用資訊，同時其豐富的查詢選項，可以使我們的工作結果更加清晰展示。

20. enum4linux

    • 描述：Windows平臺上曾經出現過一個第三方的資訊列舉工具 enum.exe，其利用SMB協議列舉Windows系統和SAMBA服務，以此來獲得目標系統大量的重要資訊，其列舉結果可能包含目標系統的使用者帳號、組帳號、共享目錄、密碼策略等機密重要資訊。enum4linux作為其Linux平臺的復刻作品，全面相容了enum.exe的所有功能。對於安全防護不足的SMB/SAMBA服務，enum4linux可直接列舉重要資訊，甚至幫助我們發現潛在漏洞的存在。為充分利用其功能，使用者需要對NetBIOS和SMB協議有所瞭解。

21. fierce

    • 描述：滲透測試工作的起點幾乎都始於一個域名，如何通過一個平平無奇的域名，去發現目標機構的所有活動主機、開放埠、應用服務，乃至整個潛在的攻擊面，這是滲透測試資訊收集階段最關鍵的任務之一。fierce會嘗試通過區域傳輸的方式獲取目標域名資訊，同時它還具有基於字典的域名記錄爆破功能。fierce一直以其穩定快速的執行效果，證明自己是一款優秀的DNS資訊收集工具。

22. firewalk

    • 描述：大多數掃描工具的目標都是遠端的系統，但firewalk的主要目標確是發現本地的防火牆規則。它利用IP包頭部TTL值每過三層裝置減一的特點，傳送TTL值為閘道器（通常是防火牆）跳數加一的TCP/UDP資料包，並通過閘道器上聯裝置返回的TTL超時資料包，來判斷四層埠的報文是否通過了閘道器裝置。firewalk具體工作過程分為初始和掃描兩個階段，初始階段負責確定閘道器距離（跳數）；掃描階段在確保TTL值為閘道器跳數加一的前提下，傳送大量指定埠的掃描探測，並根據回包確定探測是否被閘道器ACL所遮蔽。該工具原理涉及巧妙，但存在一定缺陷，我在課程中已詳細分析。

23. ace-VoIP

    • 描述：目前VoIP技術已被眾多企業所廣泛採用，其利用IP網路封裝語音通訊，可以大大降低企業總體運營成本。ACE（自動公司列舉器）是一個簡單而強大的VoIP目錄列舉工具，其模擬IP電話的行為，獲取VVID、TFTP、目錄服務URL等資訊，進而獲取基於使用者的名稱及擴充套件資料。這意味著將來可以基於使用者的名字對使用者進行攻擊，而不是針對隨機RTP音訊流和VoIP流量。ACE通過使用DHCP，TFTP和HTTP工作，以便下載VoIP公司目錄， 並將目錄輸出到文字檔案，而檔案可用作其他VoIP評估工具的輸入。

24. fping

    • 描述：主機發現是滲透測試的基礎。fping命令與系統自帶的ping命令相同，都是利用標準的ICMP報文探測活動主機。與ping命令一次只探測一個IP地址的工作方式相比，fping最大的優勢在於其具有並行掃描多個地址的特性，可以大大提高掃描速度，同時其眾多的命令引數，也使其可以靈活適用於不同的應用場景。但基於ICMP流量過濾的防火牆，可能遮蔽fping的掃描探測，因此掃描探測需要我們綜合多種技術手段。

25. fragroute

    • 描述：fragroute能夠擷取、修改和重寫向外傳送的報文，實現了大部分在Secure Networks Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection中敘述的IDS欺騙技術，包括IP、TCP層的資料包碎片以及資料包資料重疊等。如果入侵檢測系統不能進行IP和TCP分片重組或者重組功能不太完善，將不能發現針對受害者的攻擊行為。從實現的技術來看。fragroute和fragrouter差不多，唯一的不同是fragroute只處理本地主機發出的資料流量，它不支援三層資料包的路由轉發，因此無須在本地主機上開啟IP轉發功能。

26. fragrouter

    • 描述：fragrouter作為一個網路路由器，能夠擷取、修改和重寫出站的流量報文，實現了大部分在Secure Networks Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection中敘述的IDS欺騙技術，包括IP、TCP層的資料包碎片以及資料包資料重疊等。如果入侵檢測系統不能進行IP和TCP分片重組或者重組功能不夠完善，將不能發現針對受害者的攻擊行為。從實現的技術來看，fragroute和fragrouter非常相似，唯一的不同是fragroute只處理本地主機的出站流量，而fragrouter可以為網路所有主機提供路由的功能。

27. hping3

    • 描述：如同黃綺珊是被埋沒多年的好聲音一樣，我認為Hping3也一直沒有得到應有的重視和尊重。hping3身材小巧功能多樣而且強大，完全符合所謂瑞士軍刀的比喻。它本質上是個發包和收包工具，但我們試想一下，所有的網路通訊又何嘗不是一個發包和收到的過程呢？所以本質上hping3其實可以完成任何TCP/IP協議的通訊，他不但能發包，而且還可以收包，基於這個特性，它不但可以完成檔案的傳遞，而且還可以傳遞系統指令，進而當作一個遠端程式碼執行的木馬來用。hping3是我在“kali linux工具大全”這個技術系列開始以來，最最重量級的一個工具，它的能力覆蓋了之前已及以後出現的眾多工具的功能，這是你必須掌握的一個工具。我花了3個多小時，分4個小節來講授這款工具，其中詳述了多種攻擊方式的技術原理，以及利用hping3的具體實現過程，這是物超所值的一課。

28. ident-user-enum

    • 描述：TCP/IP協議為我們實現了大量的服務型別，但絕大多數的人都不知道還一個叫做ident的服務。每個開放的埠背後，都有一個伺服器的後臺程序，而每個程序都需要使用一個系統帳號來啟動執行。安全意識欠缺的系統管理員經常會不遵守“許可權最小化原則”，利用一個帳號啟動所有的應用，或者利用超級使用者啟動服務程序。此時如果應用存在漏洞被他人入侵，其獲得的也將是超級使用者的許可權。ident服務可以識別埠背後的使用者帳號，只要目標伺服器開放了ident服務。

29. ike-scan

    • 描述：IPSec大概是我所瞭解的所有安全技術中最複雜的一個。正是由於它的複雜性，使其一直被人們認為是最安全的VPN型別，但也正是因為其複雜性，使得大多數人都始終無法搞明白它的原理和諸多技術名詞，誠可謂是一把雙刃劍。本次內容我花費了大部分篇幅來完整的介紹了IPSec技術本身，相比之下ike-scan這個明明的主角倒變成了不折不扣的配角，但我認為這是非常值得的。課程錄製之前我做了一個調查，發現95%的同學對IPSec技術完全不瞭解，這對安全從業者來說是無法容忍的，所以我認為這次課程意義重大。相信你只要瞭解了本次課程內容，以後面對任何廠家的IPSec裝置，都可以從容面對。本次課程歷時三個半小時，也許你會發現，從前花了幾個月也搞不懂的內容，在這裡可以輕鬆掌握。

30. intrace

    • 描述：進行路徑列舉時，傳統基於ICMP協議的探測工具經常會受到遮蔽，造成探測結果不夠全面。與此相對，基於TCP協議的探測則成功率會有所提高，同時基於已經建立的合法TCP會話的探測則更具優勢，甚至可以探測到目標內網，這些正是intrace這款工具的功能。雖然沒有銀彈，但結合多種技術手段，則可以收集更加完整的目標資訊，為後續滲透測試做準備。

31. irpas-ass

    • 描述：IANA作為網際網路數字資源的最高管理機構，負責IP地址和ASN的分發管理工作。它將數字資源非配的具體工作委派給了5個RIR，由RIR分別應管理其對應的國家和地區。我國的CNNIC就是APNIC下屬的國家級管理機構。世界上不同地區的ISP和大機構分別建設了自己的網路，當這些所有的網路被連線在一起的時候，就成為了網際網路。ASN用於區分和標識彼此網路的身份，與IP地址共同完成網際網路通訊的路由，在技術、經濟和政治因素的共同影響下，奇妙的發揮作用。ass是自治系統掃描器的簡稱，其主要支援對AS內部各種IGP路由協議的掃描和發現，目的是發現那些安全上疏於防範的路由器裝置。

32. inxi

    • 描述：Linux系統從來都不缺乏查詢系統軟硬體資訊的能力，但是它們過於分散，你需要使用各種系統命令，或者到多個不同的執行狀態檔案中才能全面獲取相關資訊。而inxi為我們提供一個一站式的解決方案，使用簡單的引數既可以快速獲取想要的資訊，無論是CPU、記憶體、主機板、硬碟、BIOS等硬體資訊，還是系統核心、桌面環境、Xorg等軟體資訊。這會使我們對系統資訊收集的工作效率大大提高。

33. lbd

    • 描述：負載均衡技術可以顯著提高系統的效能和可用性，結合相應的過濾機制，更可以實現諸多安全過濾特性。作為滲透測試者，發現並且應對負載均衡裝置，是我們必須面對的一個門檻。lbd是一款負載均衡檢測軟體，它主要支援對DNS負載均衡和麵向HTTP協議的伺服器負載均衡技術的檢測，利用DNS、Server、時間、Diff等多種方式進行檢測。

34. maltego
    描述：無論是開源世界還是商界環境，國內都缺乏一個像maltego這樣型別的軟體產品。這是一個結合了手動和自動方式的開源情報資訊收集、關聯、分析的強大軟體，我們技術系列之前的內容曾經介紹過它的簡化版軟體 casefile。maltego除了兼具casefile所有功能之外，更提供眾多強大的Transform能力，通過Transform我們可以自動進行資訊發現和關聯，其能力甚至可以替換我們這個系列之前介紹的很多工具。同時它基於一種框架的設計思路，可以靈活的增加更多的資訊源，以擴充套件其能力，只是在具體使用的過程中，我們可能需要單獨獲取各自資訊源API的訪問Token。

35. masscan

    • 描述：雖然nmap仍然是我最愛的掃描軟體，但masscan卻是此類工具中不容忽視的一個存在。作為一款掃描器軟體，masscan最大的優勢大概在於其效能方面的優勢，理論上其可以每秒鐘傳送2500萬個探測資料包。以此數字計算，掃描網際網路全部IP地址的一個指定埠，大約也就需要3分鐘左右的時間，而且同時支援TCP和UDP協議的埠掃描。雖然它也可以進行http協議的探測，但卻必須手動修改系統iptables防火牆規則，才能正常建立TCP的三次握手。

36：miranda
- 描述：UPnP協議的安全問題，大約從十年前開始被安全圈研究和討論，而且相關研究還登上過當年的DEFCON大會的講臺。但直到今天，UPnP的安全問題卻似乎仍然沒有引起各裝置生產商的重視，今天主流的智慧家庭裝置依然爭相支援UPnP協議，致使今天我們面臨的局面遠遠嚴重於10年前。『米蘭達』這個美麗名字的背後，其實是一個完整的UPnP裝置掃描探測及管理工具，通過它我將向你輕微展示如何修改家用路由器的配置，而完全不必事先知道密碼。對此，目前行之有效的安全防護措施，只有禁用UPnP功能。

1. nbtscan

   • 描述：為了保持自身軟體架構的穩定，同時又可以方便擴充套件對不同3/4層網路協議的支援，微軟在會話層定義了自己的netbios協議，為不同的應用提供統一的資源定位訪問方式，這就是NetBIOS名稱的作用。對NetBIOS服務的掃描可以發現，比網路層及傳輸層更加豐富的不同型別的資訊，nbtscan正是為了這一目的而誕生的。由於長期無人維護，原始版本的nbtscan早已停止更新，因此unixwiz整合並復活了原始版本的所有功能，創造了nbtscan-unixwiz。

2. ncat

   • 描述：nc被稱為網路工具中的瑞士軍刀，這是對其身材小巧而功能多樣且強大的形象比喻。目前nc隸屬於nmap專案，後者遵循原始版本nc的功能精髓，完全重新創造了自己版本的ncat工具。除剔除了nc的掃描功能之外，ncat忠實的繼承了nc的所有功能，並且增強了功能特性並修復了bug。本次課程我也同時提及了nc的其他四個衍生版本，但由於功能的相似性，我並未逐個詳細介紹。nc衍生類軟體很難被定位為某一具體型別的工具，因為無論是滲透測試初期還是中後期，我們都能看到它的矯健身影。

3. netdiscover

   • 描述：三層IP網路主要的物理連線裝置是路由器，路由器以自身路由表匹配流入的每個資料包，從而決定如何轉發它們。而作為局域二層網路主要的物理連線裝置，交換機通過識別目標MAC地址進行資料幀的轉發，這裡arp協議負責將IP地址解析為對應的MAC地址。netdiscover正是利用arp協議的原理，同時支援主動和被動的二層主機發現，它通過主動傳送和被動偵聽arp資料包，發現本地網路中主機的存在。二層主機發現不受地址欺騙的影響，準確率更高。

4. netmask

   • 描述：netmask不是一個安全工具，但眾多滲透測試發行版的Linux系統中卻全都收錄了它。這不禁令我猜測，大概網路知識的欠缺是很多安全研究員的通病吧。哪怕是簡單的子網劃分，也會令很多新手和老手的安全從業者一頭霧水。本課我除了介紹netmask的具體用法之外，同時還向大家介紹了我個人常用的“切餅式子網劃分大法”，相信如果你掌握了我的方法，完全可以不必使用這個工具。

5. nmap

   • 描述：nmap還用介紹嗎？搞安全的人還有不知道或者不會用nmap的嗎？據我觀察，能夠全面靈活運用nmap的人其實並不多見。其實nmap早已經不再是你眼中那個網路層的掃描器軟體了，早在十年前它就已經進化成為一個全功能的安全評估框架。今天，利用nmap強大的指令碼功能，你可以輕鬆開發出任何漏洞檢測和利用的功能，甚至完全不需要掌握那些常見的程式語言。本課我向你介紹了nmap幾乎全部引數功能，同時演示瞭如何自己開發一個指令碼的過程。

6. onesixtyone

   • 描述：完全依靠人工來監控大型網路的執行狀態，是一種令人崩潰的任務。SNMP協議可以大大簡化系統和網路管理員的工作，實現問題的快速定位和排查。但缺乏安全意識的管理員卻經常會採用SNMP的預設配置，這會造成系統資訊的洩漏，甚至裝置直接被攻擊者控制和篡改。onesixtyone是一款專門針對SNMP團體名（Community）進行爆破的工具，一旦獲取了團體名，目標將對你毫無祕密可言。

7. p0f

   • 描述：主機發現大體上可以分為主動和被動兩大型別。但無論是主動還是被動，究其本質，都是基於被發現目標傳送資料包的方式和特徵來進行分析的過程。主動方式主動發起請求，促使目標系統應激響應發包；而被動方式則是純粹的偵網路中隨機而至的任意資料包。p0f就是後者中的一員，它使用內建的指紋資訊庫去匹配每一個自己收到的資料包，進而判斷目標系統的型別以及版本等資訊。

8. parsero

   • 描述：機器人、爬蟲等程式是從網際網路上獲取資訊的重要手段，但缺乏節制的爬站行為卻很可能給網站帶來災難性的後果。為了避免爬蟲的濫用，網站所有者和搜尋引擎之間達成協議，約定凡是站點宣告拒絕被爬的目錄，禁止搜尋引擎的窺探，而這份聲名就儲存在每個站點根目錄下的robots.txt檔案中。這雖然是個良好的初衷，但robots.txt卻成為了黑客和滲透測試者的最愛，因為這裡直接向我們透漏了部分站點資源的路徑。parsero就是這樣一個自動發現robots.txt檔案，並對其中資源加以驗證的工具。

9. smbmap

   • 描述：我們最熟悉的SMB應用場景莫過於windows系統的檔案共享，但其實SMB協議還可以傳輸指令、操作檔案系統、上傳下載和直接刪除檔案。SMB協議歷史上曾經出現過永恆之藍和MS08-067等嚴重漏洞，smbmap這款工具雖然不是利用SMB協議的漏洞，但卻為我們在已知帳號密碼的情況下，提供了一種遠端共享列舉和實現檔案操作的手段，同時它還友好的支援PTH。

10. smtp-user-enum

    • 描述：大部分基於類unix系統的郵件服務，均採用作業系統帳號作為郵件帳號。因此對於其郵件帳號的探測，其實就等同於對作業系統帳號的探測，以便進行後續弱密碼口令的破解。smtp-user-enum基於三種方法驗證郵件帳號是否存在，同時支援基於字典的批量驗證。但出於有效性的考慮，我建議大家先進行手動驗證，然後再使用其相應有效的方法批量探測。

11. snmp-check

    • 描述：完全依靠人工來監控大型網路的執行狀態，是一種令人崩潰的任務。SNMP協議可以大大簡化系統和網路管理員的工作，實現問題的快速定位和排查。但缺乏安全意識的管理員卻經常會採用SNMP的預設配置，這會造成系統資訊的洩漏，甚至裝置直接被攻擊者控制和篡改。snmp-check是一款基於預設或指定團體名，對目標裝置進行資訊批量查詢的工具，其預設支援windows、類unix、網路裝置和印表機等。

12. sparta

    • 描述：如果你喜歡歷史，大概知道著名的溫泉關大戰，勇猛的斯巴達300勇士在那裡殺死了兩萬名波斯大軍。sparta這款軟體之所以取名斯巴達，正是為了證明其同樣的勇猛且強大。sparta本身只是一個python語言編寫的圖形化前端，但其內部卻整合了大量優秀的安全工具，通過簡單一致的操作介面，sparta試圖給我們提供一個一站式的滲透測試工具，即你只需要告訴給它一個目標，其餘的滲透測試工作，它全部為你搞定。

13. recon-ng

    • 描述：recon-ng是一個基於python語言編寫的資訊收集框架，通過內建的近百個資訊收集模組，recon-ng可以靈活的從眾多資訊來源收集情報。為了打通不同的框架的功能，recon-ng通過本地資料庫儲存所有獲取到的資訊。同時內建的報告功能，方便我們快速的生成各種圖形和詳細內容的報告格式。無論是公司、個人、站點、地址、主機資訊、漏洞、資訊洩露等任何型別的資訊，recon-ng都可以輕鬆獲取。部分模組需要翻牆使用。

14. theharvester

    • 描述：你只需要給出一個域名，theharvester就會在其內建支援的十幾種資訊收集來源，自動的搜尋出相關的郵件地址和主機名、子域名等資訊。受限於國內管制的網際網路環境，其部分模組的功能不能正常發揮，因此你需要自備翻牆工具。另外由於本工具主要針對國外資訊來源進行搜尋，因此對於國內目標進行的資訊收集，推薦只是用baidu作為資訊搜尋源。

15. swaks

    • 描述：SMTP方面的瑞士軍刀，身材小巧功能眾多且強大。大部分安全研究人員對WEB漏洞可能都很熟悉，但對郵件服務卻缺少最基本的瞭解，殊不知這將是你成為一名優秀滲透測試人員必經的一站。swaks幾乎支援目前所有SMTP伺服器的全面測試，我最經常使用它傳送一些偽造源地址的郵件，以此來對公司員工進行安全意識的測試。但如果是真正的攻擊者，則會利用它來發送釣魚郵件。

16. sslscan/sslyze/tlssled/ssldump

    • 描述：是的，這裡是四個工具。IPSec和SSL是安全技術中的兩個高峰，它們是加密技術最偉大的兩個具體實現。IPSec我已經在ike-scan課程中詳細講過。今次這一期內容，我藉由四個功能相近且原理相通的工具，向大家全面介紹SSL的具體工作過程。同時我通過例項，從數學演算法層面帶領大家領略一下RSA演算法的魅力。對於單純的工具黨而言，這很可能會開啟你安全認知的另一扇窗。

17. twofi

    • 描述：《高效能人士的七個習慣》是管理大師史蒂芬柯維的一本暢銷書，有黑客模仿了該書的書名，建立了一個部落格，叫做“高效能黑客的七個習慣”。部落格中的一篇文章提到一種密碼破解的思路，作者利用最簡單的shell指令碼，從twitter上獲取人們關於某些話題最常使用的單詞和字元組合，然後利用這些字元組合的變形生成密碼字典檔案。在真實的密碼破解實踐中，按照這種思路生成的密碼字典，命中率接近50%。這個驚人的例項，似乎已經揭示了人們設定密碼的真實習慣。

18. unicornscan

    • 描述：unicorn是歐美神話故事中經常出現的一種頭上長角的馬，加上了scan它就變成了一款網路掃描器。該工具曾經登上過DEFCON大會的講臺，向大家展示它略顯與眾不同的特性。與其他掃描器相比，它最大的在於其靈活便利的payload定製能力，這是一半掃描器所不具備的。即使是強大的nmap，也必須通過指令碼程式設計才能實現。而unicornscan使用了一種最簡單的語法，使得任何人都能在稍作了解之後靈活運用。該工具的幫助文件語言十分生澀，所以我將向你逐一解讀。

19. urlcrazy

    • 描述：釣魚攻擊者經常會使用外形相似的變形域名來欺騙受害者，以便實現其欺騙和敲詐的目的。urlcrazy內建了16種變形方法和8000多種人們常見的拼寫錯誤習慣，其以此來批量生成大量域名變種，並具有自動檢測變種域名可用性，和發現變種域名已經被使用情況的現狀分析能力。作為安全防護者，你可以利用它發現和預防自己所屬機構正在或即將遭受釣魚攻擊的可能性。

20. wol-e

    • 描述：受到攻擊時我經常聽人說：關機就沒事了！但果真如此嗎？wake-on-lan是2000年之後生產的幾乎所有計算機都支援的一項功能，它可以在區域網或者網際網路的環境下，遠端喚起你已經關機狀態的電腦。雖然wol功能預設情況下通常處於關閉狀態，但無論做為防護者或者滲透測試者，我們都需要了解這個風險存在的可能性，畢竟這也是構成攻擊面的一個方面。如果你的運氣夠好，或許能利用它取得意想不到的效果，畢竟安全的事情，誰能說的準呢？

21. whois

    • 描述：網際網路上的數字和名稱資源統一由ICANN註冊分配。為了滿足司法要求、技術溝通、問題處理等方面的實際需求，ICANN要求資源申請人提交併維護詳細的個人資訊。其中可能包含機構名稱，以及管理負責人和技術負責人的詳細聯絡資訊，這些資訊就稱為whois資訊。Linux系統中的whois命令是一個客戶端程式，它會智慧的選擇和查詢whois伺服器，獲取所有透明公開的whois資訊。所獲取的資訊，對滲透測試者和社會工程學發起者明顯更具價值。

22. wafw00f

    • 描述：在這個WEB技術一統天下的時代，WEB安全受到前所未有的挑戰。為了保護各自WEB應用的安全，眾多公司都選擇使用WAF產品，其中不乏傳統本地部署的WAF裝置，以及新型的雲WAF平臺。作為滲透測試者，面對一個WEB應用時，首先需要判斷目標系統是否使用了WAF，以及具體使用的是哪個品牌WAF產品。最新版wafw00f內建支援掃描和發現39種WAF產品。即使不能確定WAF產品的具體品牌，它也能提供一些技術上的參考資訊，提醒滲透測試人員需要想辦法繞過。

23. multimac

    • 描述：058號工具的課程結束時，我宣佈所有資訊收集類工具已經全部技術，但很快我就發現自己漏掉了multimac。它其實並不是一個資訊收集類工具，最多隻能算作一個輔助工具。它可以基於一個物理網絡卡，生成多個虛擬的tap網絡卡介面，並且可以為每個虛擬網絡卡設定不同的IP、MAC地址。這有助於某些自身不支援偽造源地址的工具實現隱蔽掃描的目的，同時也可以幫助某些測試人員模擬多客戶端的訪問行為。