渗透测试常用指令

互联网设备的开放信息查询网站：

• https://fofa.info/
• https://www.zoomeye.org/
• https://quake.360.net/quake/#/index
• https://x.threatbook.com/v5/mapping
• https://hunter.qianxin.com/

一、网络探测与扫描

traceroute

traceroute（在 Windows 系统中为 tracert）是一个网络诊断工具，用于追踪数据包从源设备到目标设备的路径

示例：

traceroute www.baidu.com

whatweb

whatweb 是一个 网站技术指纹识别工具，用于快速检测目标网站使用的技术栈，包括：

• Web 服务器（如 Apache、Nginx、IIS）
• 编程语言（如 PHP、Python、Ruby）
• 前端框架（如 React、Vue.js）
• CMS 系统（如 WordPress、Joomla）
• 数据库（如 MySQL、PostgreSQL）
• 第三方组件（如 Google Analytics、jQuery 版本）

示例：

whatweb www.baidu.com

ping

• 测试与目标主机（域名或 IP）的网络连通性。
• 测量往返时间（RTT，Round-Trip Time），即数据包从发送到接收的延迟（单位：ms）。
• 检测丢包率（Packet Loss）。

示例：

• 关键指标：time（延迟）、ttl（生存时间）、packet loss（丢包率）。

常用参数

fping

fping是一个比传统 ping 更高效的批量主机存活检测工具，支持并行发送 ICMP 请求。

示例：

fping -ag 192.168.1.0/24 > /dev/null

-a 参数

• 作用：仅显示存活（alive）的主机（即能响应 ping 的设备）。
• 示例：如果不加 -a，fping 会显示所有主机的状态（包括无响应的），而 -a 只过滤出在线的设备。

-g 参数

• 作用：指定扫描的目标范围（支持 IP 段或 CIDR 格式）。
• 示例：192.168.1.0/24 表示扫描整个 192.168.1.1 ~ 192.168.1.254 的 IP 段。

>/dev/null

• 作用：将命令的标准输出（stdout）重定向到 /dev/null（即丢弃所有正常输出）。
• 为什么用？：用户可能只关心命令的执行（如触发扫描），而不需要看到具体结果。

-u 仅显示不可达主机

可结合 grep 过滤结果

示例：

fping -ag 192.168.43.1/24 | grep "192.168.43" > active_ips.txt

作用：提取所有在线的 192.168.1.x IP 并保存到文件。

nc

功能：端口扫描、数据传输、端口监听、代理转发等。 别名：TCP/IP 瑞士军刀、黑客的管道工具。

• -z：扫描模式（不发送数据）。
• -v：显示详细信息。
• -l：监听模式。
• -p：指定端口。
• -e：执行命令（反向 Shell）。

nmap

功能：主机发现、端口扫描、服务识别、漏洞探测、操作系统检测等。 定位：网络审计、渗透测试、运维排查。

• -sS：SYN 半开放扫描（隐蔽）。
• -sT：TCP 全连接扫描（稳定）。
• -A：全面扫描（含 OS、服务、脚本）。
• -T4：加速扫描（可能丢包）。
• --script：调用 NSE 脚本（如 vuln、brute）。

netdiscover

netdiscover是一款基于 ARP（地址解析协议） 的主动/被动网络扫描工具，用于 发现局域网内的活动主机（IP 和 MAC 地址）。它不依赖 ICMP（Ping），因此在某些禁用 Ping 的网络中仍能有效工作。

1. 功能与用途

• 主动扫描：发送 ARP 请求探测存活主机。
• 被动扫描：监听网络中的 ARP 流量（隐蔽模式）。
• 适用场景：
  • 局域网设备发现（如排查未知设备）。
  • 渗透测试中的内网主机探测。
  • 监控 ARP 欺骗攻击（如中间人攻击）。

(1) 主动扫描（默认模式）

扫描指定 IP 范围：

sudo netdiscover -i eth0 -r 192.168.1.0/24

• -i eth0：指定网卡（用 ifconfig 查看可用网卡）。
• -r 192.168.1.0/24：扫描该子网。

(2) 被动扫描（隐蔽模式）

仅监听 ARP 流量，不主动发送请求：

sudo netdiscover -p -i eth0

• -p：启用被动模式（更隐蔽，但速度慢）。

4. 常用选项

二、域名与WHOIS查询

whois

whois用于查询 域名或 IP 地址的注册信息，包括：

• 域名所有者（注册人/组织）
• 域名注册商（如 GoDaddy、Namecheap）
• 注册日期、到期日期
• DNS 服务器（Name Servers）
• 联系信息（邮箱、电话等，可能被隐私保护隐藏）
• IP 地址的归属（ISP、地理位置等）

示例：

whois 12306.cn 

三、流量抓包与分析

tcpdump

tcpdump是一个强大的命令行网络抓包工具，用于捕获和分析网络流量。它支持多种过滤规则，可以抓取特定接口、主机、端口或协议的数据包。

示例（三次握手）：

tcpdump -n -c 3 port 22 -i eth0

hping3

hping3是一款功能强大的 网络探测和测试工具，支持 TCP/UDP/ICMP/RAW-IP 协议，常用于 端口扫描、防火墙测试、网络性能分析、DoS压力测试 等场景。它比传统 ping 更灵活，可以自定义数据包内容，适合高级网络诊断和渗透测试。

常用参数：

SYN洪水攻击

SYN洪水攻击是一种经典的 DoS/DDoS（拒绝服务）攻击，利用 TCP协议的三次握手缺陷 耗尽目标服务器的资源，使其无法正常响应合法用户的请求。

攻击者 伪造大量SYN请求，但不完成第三次握手，导致服务器资源被耗尽：

攻击步骤

1. 伪造SYN包：
   • 攻击者发送海量 SYN 包，源IP通常是伪造的（如随机IP或僵尸网络IP），使服务器无法追踪真实来源。
2. 服务器分配资源：
   • 服务器每收到一个 SYN，都会在内存中创建 半开连接（Half-Open Connection），并发送 SYN-ACK 等待客户端确认。
3. 攻击者不回复ACK：
   • 由于源IP是伪造的，SYN-ACK 不会得到响应，服务器会 持续等待（超时时间通常为30s-2分钟）。
4. 连接队列被占满：
   • 服务器的 半开连接队列（SYN Queue） 被占满，无法处理新的合法连接，导致 拒绝服务（DoS）。

示例：

hping3 -c 100000000 -d 120 -S -p 80 --flood --rand-source 192.168.43.158

对端可以通过以下指令查看套接字状态：

netstat - antup | grep :80

或在浏览器上按F12进行网络测速查看攻击效果。

四、连接与端口管理

netstat

功能：显示网络连接、路由表、接口统计等信息（已被 ss 取代，但部分系统仍可用）。

常用选项

常用组合：

• netstat -tulnp → 查看所有监听端口及对应进程
• netstat -rn → 查看路由表
• netstat -i → 查看网卡流量统计

ss

功能：netstat 的现代替代工具，来自 iproute2 工具集，速度更快，支持更多高级功能。

常用选项

常用组合：

• ss -tulnp → 查看所有监听端口及进程（等效 netstat -tulnp）
• ss -ant → 显示所有 TCP 连接（不含监听）
• ss -s → 查看套接字统计摘要
• ss -o state established → 仅显示已建立的连接

3. 关键区别

五、ARP 相关操作

arp

arp（Address Resolution Protocol）是用于查看和管理 ARP 缓存表 的命令，它记录了 IP 地址 和 MAC 地址 的对应关系。

基本语法

arp [选项] [IP地址]

常用选项：

常见用法

查看 ARP 缓存表

arp -a

arping

arping是一个用于发送 ARP（Address Resolution Protocol）请求 的命令行工具，主要用于检测局域网内某个 IP 是否在线，或者验证 MAC 地址和 IP 的绑定关系。

基本语法

arping [选项] <目标IP> [-I <网卡>]

常见选项：

示例：

arping 192.168.43.1

作用：查看192.168.43.1网关的MAC地址

如果有不同的ip地址说明有人伪造网关IP地址。

arpspoof

arpspoof是 ARP 欺骗攻击工具（属于 dsniff 工具包），用于在局域网（LAN）中发起 中间人攻击（MITM），通过伪造 ARP 响应包欺骗目标设备，使其网络流量经过你的机器。

基本语法：

arpspoof -i <网卡> -t <目标IP> <网关IP>

示例：

arpspoof -i eth0 -t 192.168.43.189 192.168.43.1

arp攻击防御：在被arp攻击之前，与网关静态绑定正确的MAC地址。