一、测绘引擎
1、Shodan:全球硬件 / 网络设备分布探测(你说的 sodan=Shodan)
核心定位:全网物联网、网络硬件搜索引擎,主打全球设备资产
- 数据源:全球分布式节点随机扫全量 IPv4/IPv6,抓取端口 Banner、设备返回报文,路由器、摄像头、工控 SCADA、防火墙、打印机是强项;
- 地域:欧美、中东、东南亚设备收录最全,国内部分 IP 受运营商屏蔽收录偏少;
- 更新逻辑:轮询全网扫描,单 IP 历史快照完整,擅长按厂商、设备型号、CVE 漏洞批量筛全球暴露设备;
- 适用场景:全球设备资产盘点、工控 / 摄像头全网分布统计、跨境设备测绘。
2、FOFA:中文环境、国内公网资产首选
核心定位:国产网络空间测绘,国内 Web / 政企资产优势独一档
- 数据源:国内合规探针集群,深度爬取网页标题 title、正文 body、HTTP 头、ICP 备案、国产中间件指纹,国内 IDC、政企、高校、中小企业资产远多于另外两个工具;
- 地域:CN(中国)资产收录最优,港澳台、日韩次之,欧美设备收录薄弱;
- 更新逻辑:国内高频增量扫描,国产 OA、宝塔、用友、各类自研后台指纹完善,支持 ICP 语法筛选国内备案站点;
- 适用场景:国内等保资产盘点、政企暴露面排查、国产应用漏洞影响范围测绘。
3、Censys:SSL/TLS 证书专项检索引擎
核心定位:证书数据库全球第一,靠 CT 证书日志 + 443 端口握手抓证书
- 数据源:①同步全球 CA 证书透明度 CT 日志;②ZMap 全量扫 443 端口抓取 TLS 握手证书,存储数十亿条 X.509 证书原文、SAN 域名、证书指纹、签发组织Censys;
- 地域:全球 HTTPS 站点均衡收录,绕过 CDN 查源站 IP 是独家优势(同证书绑定多 IP);
- 更新逻辑:证书实时同步 CT 日志,证书字段(域名、组织、指纹)检索精度最高,非加密端口(80/22/3389)收录弱于 Shodan;
- 适用场景:证书反查 IP、CDN 溯源、企业全域名资产挖掘、黑产证书特征筛查。
4、三者结果不一致的 3 个本质原因(更新周期是关键)
- 扫描周期不同
Shodan 整网轮询≈7 天、FOFA 国内日更增量、Censys 证书日志实时同步,同一 IP 上线 / 下线时间错开就会出现收录差;
- 探测侧重点不一样
Shodan 抓全端口 Banner、FOFA 偏重 Web 页面特征、Censys 只重点抓 TLS 证书,无 HTTPS 的裸 80 端口站点 Censys 大概率搜不到;
- 网络访问限制
国内 IP 防火墙、运营商路由屏蔽海外探针→Shodan 漏国内资产;海外站点屏蔽国内 FOFA 探针→FOFA 漏境外资产。
二、域名 & 域名信息收集工具
一、whois(域名注册信息查询)
作用
查询域名注册人、注册邮箱、注册商、注册时间、DNS 服务器、联系人电话、备案相关注册信息,社工、挖关联企业域名。
常用用法
whois 域名/IP
二、dnsenum(DNS 枚举工具,Perl 编写)
核心功能
爆破 DNS 记录、A/AAAA/MX/NS 记录、子域名、域传送漏洞(AXFR)、反向 PTR 解析、WHOIS 网段搜集。
常用命令
dnsenum 域名 dnsenum –dnsserver 8.8.8.8 域名
重点探测:DNS 区域传送漏洞(高危,成功可导出全域 DNS 解析)
三、Sublist3r(Python 子域名爆破)
原理
聚合多平台数据源:搜索引擎 (Google/Bing)、DNS 数据库、第三方子域名接口 + 暴力字典爆破,被动 + 主动结合扫子域名。
常用语句
# 基础扫描
sublist3r -d target.com
# 开启暴力枚举
sublist3r -d target.com -b
# 结果输出文件
sublist3r -d target.com -o result.txt
优点:开箱即用、数据源多;缺点:爆破速度慢、结果偏旧。
四、Subfinder(Go 开发,现代子域名搜集首选)
优势
开源、多 API 接口、速度远超 Sublist3r、纯被动搜集(无发包爆破,不易被 WAF 封禁),渗透资产测绘主流工具。
常用用法
# 基础查询 subfinder -d target.com # 导出结果 subfinder -d target.com -o sub.txt # 配合API密钥提升搜集量(securitytrails、virustotal等) subfinder -d target.com -config ./config.yaml组合用法:subfinder + httpx批量探测存活站点。
五、Google Hacking(GHDB,谷歌语法漏洞搜索)
原理
利用 Google 搜索引擎特殊语法,在公网抓取泄露敏感文件、后台地址、数据库备份、配置文件、源码、弱口令页面。
高频常用语法
| 语法 | 作用示例 |
|---|---|
site:xxx.com |
限定站点内搜索:site:target.com inurl:admin.php |
inurl:xxx |
URL 包含关键词:inurl:.env(项目密钥配置文件) |
intitle:xxx |
网页标题关键词:intitle:phpmyadmin |
filetype:xxx |
指定后缀文件:site:target.com filetype:sql(数据库备份) |
-关键词 |
排除内容:site:target.com filetype:pdf -admin |
二、Nmap 常用命令速查
一、基础参数说明
plaintext
-sP 存活主机探测(主机发现,不扫端口)
-sS 半开SYN扫描(需要root,隐蔽)
-sT 全连接TCP扫描(普通用户可用)
-sU UDP端口扫描(慢)
-p 指定端口 -p 1-1000 / -p 22,80,3389 / -p-全端口
-Pn 跳过存活检测,直接扫端口(防火墙拦截ICMP时必用)
-O 操作系统指纹识别
-sV 探测端口服务版本
-T4/T5 扫描速度 T1最慢~T5疯狂高速
-oN 普通文本输出
二、常用实战命令
1. 网段存活探测(C 段)
nmap -sP 192.168.1.0/24
2. 单 IP 常规端口 + 版本探测
nmap -sV -T4 -p 1-1000 192.168.1.10
3. 防火墙屏蔽 ping → Pn 绕过
nmap -Pn -sV -T4 1.1.1.1
4. 全端口扫描(-p-)
nmap -T4 -Pn -p- 目标IP
5. 导出扫描结果(配合 nc 传输结果)
nmap -sV 192.168.1.5 -oN scan.txt
# 服务器监听:nc -lvp 6666 > scan_res.txt
# 本机发送:cat scan.txt | nc 公网IP 6666
三、配合前期子域名工作流
# subfinder导出子域名IP列表 → nmap批量扫描
subfinder -d test.com -o sub.txt
nmap -iL sub.txt -sV -T4 -oN all_scan.txt
四、Nmap 脚本引擎 NSE(高危漏洞探测)
# 全漏洞脚本扫描
nmap --script=vuln -Pn 目标IP
# 弱口令脚本
nmap --script=auth -p 22,3389 目标IP二、Hobuster 完全教程(目录爆破 / 子域名爆破 神器)
Hobuster 是Go 语言写的超快 Web 目录爆破工具,比 dirb、dirbuster 快得多,是渗透测试必备!
我直接给你最常用、能直接复制的命令👇
一、核心功能
- Web 目录爆破(/admin、/login、/api…)
- 子域名爆破(test.xxx.com、api.xxx.com…)
- DNS 枚举
- 速度极快、稳定、支持多线程
二、最常用命令(直接用)
1. 网站目录爆破(最常用)
hobuster dir -u http://target.com -w /usr/share/wordlists/dirb/common.txt参数解释
dir:目录爆破模式-u:目标 URL-w:字典路径
2. 带线程、超时、隐藏 404(推荐)
hobuster dir -u http://target.com -w /usr/share/wordlists/dirb/common.txt -t 30 -k -n-t 30:30 线程(更快)-k:忽略 SSL 错误-n:不显示 404 状态码
3. 子域名爆破
hobuster dns -d target.com -w subdomains.txt
dns:DNS 子域名爆破模式-d:目标域名
4. 配合你前面的工具(信息搜集完整流程)
# 1. 子域名
subfinder -d target.com -o sub.txt
# 2. 扫描存活
cat sub.txt | httpx -o alive.txt
# 3. 目录爆破(批量)
hobuster dir -u http://alive.txt -w common.txt
三、Kali 安装(如果没装)
apt install hobuster
四、字典位置(Kali 自带)
/usr/share/wordlists/dirb/common.txt
/usr/share/wordlists/dirb/big.txt
/usr/share/wordlists/seclists/
评论(1)