1. Nmap - 网络扫描与探测

作用：
端口扫描、服务识别、操作系统检测、漏洞脚本探测

语法：

sh
nmap [扫描类型] [参数] <目标IP/域名>

参数详解：

• 扫描模式
  • -sS: TCP SYN扫描（默认，隐蔽快速）
  • -sT: TCP全连接扫描（稳定性高但易被检测）
  • -sU: UDP端口扫描
  • -sn: Ping扫描（仅探测存活主机）
• 服务探测
  • -sV: 服务版本识别
  • --script=banner: 提取服务Banner信息
  • --script=vuln: 漏洞探测脚本
• 端口控制
  • -p 80,443: 指定端口
  • -p-: 全端口扫描（1-65535）
  • --top-ports 100: 扫描常见前100端口
• 输出格式
  • -oN result.txt: 普通文本输出
  • -oX report.xml: XML格式输出（兼容漏洞管理系统）
  • -oG grep.txt: Grep友好格式
• 性能优化
  • -T<0-5>: 速度等级（T0最慢/隐蔽，T5最快/激进）
  • --min-rate 500: 每秒至少发送500个包

示例：

sh
nmap -sS -sV -p 1-1000 -T4 -A -O --script=http-title 192.168.1.0/24 -oN scan_report.txt

---

2. theHarvester - 情报聚合

作用：
收集子域名、邮箱、IP地址、开放端口等信息

语法：

sh
theHarvester -d <域名> -b <数据源> [参数]

参数详解：

• -d example.com: 目标域名（必选）
• -b google: 数据源（可选：bing, linkedin, github, shodan等）
• -l 500: 限制搜索结果数量
• -f report.html: 输出HTML报告
• -v: 显示详细过程
• -n: DNS解析验证结果有效性

示例：

sh
theHarvester -d company.com -b google,bing -l 1000 -f company_report.html

---

3. Sublist3r - 子域名爆破

作用：
通过搜索引擎和DNS枚举快速发现子域名

语法：

sh
sublist3r -d <域名> [参数]

参数详解：

• -t 50: 线程数（默认40）
• -o result.txt: 输出结果文件
• -e google,yahoo: 指定搜索引擎
• -b: 暴力破解模式（需配合-p参数）
• -p 80,443: 指定端口进行验证

示例：

sh
sublist3r -d example.com -t 100 -o subdomains.txt -e bing -p 443

---

4. DNSRecon - DNS深度侦查

作用：
DNS记录枚举、区域传送检测、子域名爆破

语法：

sh
dnsrecon -d <域名> [参数]

参数详解：

• -t std: 标准记录查询（A/MX/TXT等）
• -t axfr: 检测DNS域传送漏洞
• -D wordlist.txt: 自定义子域名字典
• -c result.csv: CSV格式输出
• --threads 50: 多线程加速

示例：

sh
dnsrecon -d example.com -t axfr -D /usr/share/wordlists/dnsmap.txt -c dns_report.csv

---

5. Netdiscover - ARP侦查

作用：
基于ARP协议的局域网设备发现

语法：

sh
netdiscover [参数]

参数详解：

• -i eth0: 指定网卡
• -r 192.168.1.0/24: 指定扫描范围
• -f: 快速模式（减少等待时间）
• -P: 被动模式（仅监听流量）
• -l ip.txt: 从文件加载IP列表

示例：

sh
netdiscover -i eth0 -r 10.0.0.0/16 -f

---

6. Shodan CLI - 联网设备搜索

作用：
通过Shodan搜索引擎查找暴露的IoT设备/服务器

语法：

sh
shodan [命令] [参数]

常用命令：

• search "apache": 搜索Apache服务
• host 8.8.8.8: 查询指定IP的详细信息
• stats "port:22": 统计SSH服务分布
• download --limit 1000 "nginx": 下载数据集

参数：

• --fields ip,port,org: 自定义输出字段
• --limit 500: 限制返回结果数量

示例：

sh
shodan search "product:MySQL country:CN" --limit 200 --fields ip,port

---

7. Wireshark - 流量分析

作用：
抓包分析与协议解析

语法：

sh
wireshark [参数]

核心参数：

• -k: 立即开始捕获
• -i eth0: 指定网卡
• -Y "http.request": 显示过滤器（仅HTTP请求）
• -r capture.pcap: 读取已有抓包文件
• -w output.pcap: 保存抓包结果

示例：

sh
wireshark -i eth0 -Y "dns.qry.name contains example.com" -w dns_traffic.pcap

---

8. Maltego - 可视化关联分析

作用：
图形化情报收集与关系图谱构建

核心功能：

1. 实体类型：
   • Domain / IP / Email / Phone Number
   • Social Media Accounts
2. 变换（Transforms）：
   • DNS记录查询
   • WHOIS信息提取
   • 子域名发现

典型工作流：

1. 新建图表 → 添加初始域名
2. 右键选择"Run Transform" → "To DNS Name"
3. 自动生成关联实体（IP/邮件/服务器等）
4. 导出结果为CSV/PDF

优势：

• 支持自定义数据源API集成
• 自动生成攻击路径可视化视图

---

9. Amass - 深度子域名挖掘

作用：
结合被动API和主动爆破的全面子域名发现

语法：

sh
amass enum [参数] -d <域名>

参数详解：

• -active: 启用主动扫描（DNS爆破）
• -brute: 使用字典暴力破解
• -w wordlist.txt: 自定义字典文件
• -config config.ini: 加载API密钥配置文件
• -o output.txt: 保存结果

示例：

sh
amass enum -active -brute -d example.com -w /usr/share/wordlists/subdomains.txt

---

10. Masscan - 极速端口扫描

作用：
大范围网络快速端口扫描（速度可达Nmap的100倍）

语法：

sh
masscan [参数] <目标IP范围>masscan [参数] <目标IP范围>

参数详解：

• -p80,443: 指定端口（支持范围0-65535）
• --rate 100000: 每秒发包速率
• -oL result.txt: 输出List格式
• -oJ result.json: 输出JSON格式
• --adapter eth0: 指定网卡

示例：

sh
masscan 10.0.0.0/8 -p0-65535 --rate 100000 -oL full_scan.txt

---

11. ffuf - 后台文件扫描

作用：

目录扫描，模糊测试工具

语法：

sh
ffuf [参数] <目标IP范围>

参数详解：

• -u http://example.com：指定URL
• -w wordlist.txt：指定字典文件
• --recursion：递归扫描
• -c：结果高亮显示
• -ic：忽略大小写匹配
• -e：给字典的每个单词追加后缀（用于扫描文件拓展名）
• -b：添加cookie
• -d：发送post数据

示例：

sh
ffuf -u http://192.168.174.145/FUZZ -w directory-list-2.3-medium.txt -c -ic -e .txt,.zip,.php,html

工具对比表

工具	最佳适用场景	特点	资源消耗
Nmap	精准服务识别	功能全面，脚本扩展性强	中
Masscan	大范围网络快速扫描	速度极快，适合初步侦查	高
Amass	深度子域名发现	API+爆破结合，覆盖面广	中
Maltego	可视化情报关联分析	图形化展示，支持复杂分析	低
```