对目标进行信息收集

1. 域名信息收集

域名（英语：Domain Name），又称网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）。由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点，人们设计出了域名，并通过网域名称系统来将域名和IP地址相互映射，使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP地址数串。

顶级域名/一级域名：

顶级域（或顶级域名，也称为一级域名），是互联网DNS等级之中的最高级的域，它保存于DNS根域的名字空间中。顶级域名是域名的最后一个部分，即是域名最后一点之后的字母，例如在http://www.example.com这个域名中，顶级域是****.com。

二级域名：

除了顶级域名，还有二级域名，就是最靠近顶级域名左侧的字段。例如在http://www.example.com这个域名中，example就是二级域名。

子域名：

子域名（或子域；英语：Subdomain）是在域名系统等级中，属于更高一层域的域。比如，mail.example.com和calendar.example.com是example.com的两个子域，而example.com则是顶级域.com的子域。凡顶级域名前加前缀的都是该顶级域名的子域名，而子域名根据技术的多少分为二级子域名，三级子域名以及多级子域名。

一般来说，在做渗透测试之前，渗透测试人员能够了解到的信息有限，一般也就只知道一个域名，这就需要渗透测试人员首先要针对一个仅有的域名进行信息搜集，获取域名的注册信息，包括该域名的DNS服务器信息、子域信息和注册人的联系信息等信息。可以用以下几种方法来收集域名信息。

1.1 主域名资产收集

1）ICP备案查询

网站备案信息是根据国家法律法规规定，由网站所有者向国家有关部门申请的备案，是国家信息产业部对网站的一种管理途径，是为了防止在网上从事非法网站经营活动，当然主要是针对国内网站。

在备案查询中我们主要关注的是：单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等。

链接	说明
https://beian.miit.gov.cn/#/Integrated/index	工信部备案
https://www.beian.gov.cn/portal/registerSystemInfo	公安备案
http://icp.chinaz.com/	站长之家
https://www.aizhan.com/cha/	爱站网

2）DNS记录查询

链接	说明
https://dnsdb.io/zh-cnl	Dnsdb
https://site.ip138.com	查询网
https://ti.360.net/#/homepage	360威胁情报中心
https://x.threatbook.com	微步在线
https://viewdns.info	viewdns.info
https://securitytrails.com	securitytrails
https://tools.ipip.net/cdn.php	tools.ipip

3）Whois查询包括在线网站和邮箱反查

注册域名的时候留下的信息。比如域名注册人的邮箱、电话号码、姓名等。根据这些信息可以尝试制作社工密码，或者查出更多的资产等等，也可以反查注册人，邮箱，电话，机构及更多的域名。

在线网站链接	说明
https://beian.miit.gov.cn/#/Integrated/index	工信部备案网站
https://www.beian.gov.cn/portal/registerSystemInfo	公安备案网站
http://whois.chinaz.com/	站长之家
https://whois.aizhan.com/	爱站网
https://webwhois.cnnic.cn/WelcomeServlet	中国互联网信息中心
https://whois.cloud.tencent.com/	腾讯云
https://whois.aliyun.com/	阿里云
http://whois.xinnet.com/domain/whois/index.jsp	新网

反查邮箱链接	说明
https://bbs.fobshanghai.com/checkemail.html	福人
https://www.benmi.com/rwhois	whois反查
http://whois.chinaz.com/reverse?ddlSearchMode=1	站长工具
https://phonebook.cz	phonebook
https://hunter.io/	hunter

4）IP反查可利用网络空间搜索引擎或者威胁情报中心

链接	说明
https://ti.360.net/	360威胁情报中心
https://x.threatbook.com/	微步在线

1.2 子域名资产收集

子域名（或子域；英语：Subdomain）是在域名系统等级中，属于更高一层域的域。比如，mail.example.com和calendar.example.com是example.com的两个子域，而example.com则是顶级域.com的子域。凡顶级域名前加前缀的都是该顶级域名的子域名，而子域名根据技术的多少分为二级子域名，三级子域名以及多级子域名。

为什么要收集子域名

子域名枚举可以在测试范围内发现更多的域或子域，这将增大漏洞发现的几率。

有些隐藏的、被忽略的子域上运行的应用程序可能帮助我们发现重大漏洞。

在同一个组织的不同域或应用程序中往往存在相同的漏洞

假设我们的目标网络规模比较大，直接从主域入手显然是很不理智的，因为对于这种规模的目标，一般其主域都是重点防护区域，所以不如先进入目标的某个子域，然后再想办法迂回接近真正的目标，这无疑是个比较好的选择。

收集子域名的方法有以下几种：

1）DNS域传送

DNS服务器分为主服务器，备份服务器，缓存服务器。
域传送是指备份服务器从主服务器上复制数据，然后更新自身的数据库，以达到数据同步的目的，这样是为了增加冗余，一旦主服务器出现问题可直接让备份服务器做好支撑工作。
而域传送漏洞则是由于DNS配置不当，导致匿名用户可以获取某个域的所有记录，造成整个网络的拓扑结构泄露给潜在的攻击者，凭借这份网络蓝图，攻击者可以节省大量的扫描时间，同时提升了目标的准确度。
DNS域传送漏洞检测方式有三种：nslookup，dig，和使用nmap脚本。

2）公开dns数据集

https://hackertarget.com/find-dns-host-records/
https://www.netcraft.com/

3）通过搜索引擎

通过谷歌、百度、搜狗、360、bing等hack搜索语法搜索子域名。

链接	说明
https://www.google.com	Google 语法：intitle=公司名称；site:xxxx.com
https://www.baidu.com	百度 语法：intitle=公司名称;site:xxxx.com
https://www.sogou.com/	搜狗
https://www.so.com/	360
https://cn.bing.com/	Bing

4）通过网络空间搜索引擎

链接	说明
https://www.zoomeye.org/	钟馗之眼
https://fofa.info/	fofa
https://www.shodan.io/	shadon
https://hunter.qianxin.com/	鹰图
https://quake.360.cn/	360

5）子域名的信息泄露包括JS文件泄露、网络爬虫等

a）可利用github直接搜索域名或者网站的js文件泄露子域名，JSFinder，JSINFO-SCAN和SubDomainizer都是从网站js文件中搜索子域名的工具。

链接	说明
https://github.com/Threezh1/JSFinder	JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。
https://github.com/p1g3/JSINFO-SCAN	对网站中引入的JS进行信息搜集的一个工具
https://github.com/nsonaniya2010/SubDomainizer	查找子域名的工具
https://github.com/rtcatc/Packer-Fuzze	针对webpack打包方式的
https://github.com/momosecurity/FindSomething	FindSomething

b）利用文件泄漏，很多网站有跨域策略文件crossdomain.xml、站点地图sitemap.xml和robots.txt等，其中也可能存在子域名的信息。
c）利用网络爬虫，很多网站的页面中，会有跳转到其他系统的功能，如OA、邮箱系统等，其中可能就包含有其他子域名相关的信息，此外部署了内容安全策略（CSP）的网站在header头Content-Security-Policy中，也可能存在域名的信息。可使用burpsuite或者awvs类工具对站点进行爬取分析。

6）一些在线网站子域名查询

链接	说明
https://site.ip138.com/	查询网
https://phpinfo.me/domain/	在线子域名查询
http://tool.chinaz.com	站长之家
https://www.t1h2ua.cn/tools/	子域名扫描
https://dnsdumpster.com/	dnsdumpster
http://dns.aizhan.com	爱站

7）子域名爆破工具

链接	说明
https://github.com/euphrat1ca/LayerDomainFinder	layer子域名挖掘机
https://github.com/lijiejie/subDomainsBrute	subDomainsBrute
https://github.com/shmilylty/OneForAll	OneforAll
https://github.com/aboul3la/Sublist3r	Sublist3r
https://github.com/laramies/theHarvester	theHarvester
https://github.com/projectdiscovery/subfinder	subfinder
https://github.com/knownsec/ksubdomain	ksubdomain

8）批量域名存活探测工具

链接	说明
https://github.com/dr0op/bufferfly	bufferfly
https://github.com/broken5/WebAliveScan	WebAliveScan 可进行批量目标存活扫描和目录扫描
https://github.com/EASY233/Finger	Finger

9）SSL/TLS证书查询

链接	说明
https://myssl.com	SSL/TLS安全评估报告
https://crt.sh/	crt.sh
https://spyse.com/tools/ssl-lookup	SPYSE
https://censys.io/	censy

10）利用证书透明度收集子域

要向用户提供加密流量，网站必须先向可信的证书授权中心 (CA) 申请证书。然后，当用户尝试访问相应网站时，此证书即会被提供给浏览器以验证该网站。近年来，由于 HTTPS 证书系统存在结构性缺陷，证书以及签发证书的 CA 很容易遭到入侵和操纵。Google 的证书透明度项目旨在通过提供一个用于监测和审核 HTTPS 证书的开放式框架，来保障证书签发流程安全无虞。可以使用以下网站来查询

    crtsh
    entrust
    censys
    google
    spyse
    certspotter（每小时免费查询100次）
    facebook（需要登录）

2. 网站指纹识别

CMS指纹识别

CMS（内容管理系统）又称为整站系统或文章系统，用于网站内容管理。用户只需要下载对应的CMS软件包，就能部署搭建，并直接利用CMS。但是各种CMS都具有其独特的结构命名规则和特定的文件内容，因此可以利用这些内容来获取CMS站点的具体软件CMS与版本。

在渗透测试中，对进行指纹识别是相当有必要的，识别出相应的CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。

常见的CMS有Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。

2.1 网站指纹识别

1）在线平台：

链接	说明
http://whatweb.bugscaner.com/look/	bugscaner 需要扫码登录
https://fp.shuziguanxing.com/#/	数字观星
http://www.yunsee.cn/finger.html	云悉 需注册
http://sso.tidesec.com/	潮汐
http://whatweb.bugscaner.com/look/	whatweb
https://github.com/search?q=cms识别	github查找

2.2 网站waf识别

WAF识别：wafw00f

链接	说明
https://github.com/EnableSecurity/wafw00f	wafw00f

3. 存活主机扫描

扫描原理

通过端口扫描，可以得到很多有用的信息，从而发现系统的安全漏洞。它是系统用户了解系统目前向外界提供了哪些服务，从而为系统用户管理网络提供了一种手段。一个端口就是一个潜在的通信信道，也就是一个入侵通道。端口扫描技术是一项自动探测本地和远程系统端口开放情况的策略及方法。端口扫描技术的原理是端口扫描向目标主机的TCP / IP 服务端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信息。端口扫描也可以通过捕获本地主机或服务器的流入流出IP数据包来监视本地主机的运行情况，他通过对接收到的数据进行分析，帮助人们发现目标主机的某些内在弱点。

ping扫描

nmap -sP 192.168.1.0/24

向目标主机发送ICMP回显请求（Echo Request）报文，期待从运行主机得到ICMP回显应答（Echo Reply）报文，从而判断出目标主机的存活状态。通过并行轮转形式发送大量的ICMP Ping请求，可以用来对一个网段进行大范围扫射，由此来确定主机的存活情况。尽管并行轮转探测的准确率率和效率都比较高，但是一般的路由器或防火墙都通过阻塞ICMP报文限制了ICMP Ping探测。

该选项告诉Nmap仅仅进行Ping扫描，然后打印出对扫描做出响应的主机。其比列表扫描更积极，常常用于和列表扫描相同的目的。对于攻击者来说，了解多少主机正在运行比列表扫描提供的一列IP和主机名更有价值。它可以很方便的得出网络上的多少机器正在运行或者监视服务器是否正常运行。

无ping扫描

nmap -P0 192.168.1.0/24

无Ping扫描通常用于防火墙禁止Ping的情况下，它能确定正在运行的机器。
默认情况下，Nmap只对正在运行的主机进行高强度的探测，如端口扫描、版本探测或操作系统探测。用P0会使Nmap对每一个指定的的目标IP进行所要求的扫描，这可以穿透防火墙，也可以避免被防火墙发现。

TCP syn ping扫描

nmap -PS 192.168.123.1/24

该选项发送一个设置了SYN标志位的空报文。SYN标志位告诉对方你正试图建立一个连接，通常目标端口是关闭的，目标主机返回RST（复位）数据报文。如果端口是开放的，则目标会进行TCP三步握手的第二步，回应一个SYN | ACK TCP报文，然后运行Nmap的机器会扼杀这个正在建立的连接；否则，一个完全的连接将会建立。Nmap并不关心端口开放还是关闭。无论RST还是SYN | ACK响应都告诉Nmap该机器正在运行。

TCP ack ping扫描

nmap -PA 192.168.123.1/24

向目标主机的常用端口发送设置标志位为ACK的TCP数据报文。如果目标主机处于活动状态，则无论这个端口打开还是关闭，其都会返回标志位为RST的数据报文，这种方法也同样需要root权限。有一种常用的防火墙，它是利用有状态的规则来封锁预期的数据报文，开始这一特性之存在于高端防火墙，但是这些年来应用越来越普遍。这些防火墙会根据连接的状态把报文进行分类，通常ACK报文会被识别而被过滤掉。

UDP扫描

nmap -PU 192.168.1.0/24

向目标主机的指定端口发送UDP数据报文，如果目标主机处于活跃状态，并且所指定端口为关闭的，那么目标主机就会返回ICMP端口无法到达的回应报文；如果指定端口是一个开放的端口，则大多服务会忽略这个报文而不做任何回应。因此这个指定端口通常必须是一些不常用的端口，因为只有选这些不常用的端口才能保证此方法的有效性和可行性，这种探测方法可以穿越只过滤TCP的防火墙或过滤器。

ARP扫描

nmap -R 192.168.1.0/24

ARP 协议是根据目标主机的 IP 地址获取对应的 MAC 地址。如果目标主机存在，将返回 MAC 地址。利用这一点，用户可以基于 ARP 协议对目标主机进行扫描，来判断目标主机是否启用。
ARP扫描是nmap对目标进行一个apr ping扫描的过程，尤其在内网的情况下。因为在本地局域网防火墙是不会禁止ARP请求的。所以在内网中使用apr扫描时非常有效的。

列表扫描

nmap -sL 192.168.1.0/24

列表扫描仅仅列出指定网络上的每台主机，而不发送任何报文到目标主机。默认情况下，nmap仍然对主机进行反向域名解析 ，以获取他们的名字，主机名有时能给出有用的信息。Nmap最后还会报告IP地址总数。列表扫描可以很好地确保用户拥有正确的目标IP。

反向域名解析

nmap -P0 192.168.1.0/24

所谓的反向域名解析，是指从IP地址到域名的映射。由于在域名系统中，一个IP地址可以对应多个域名，因此从IP出发去找域名，相对于一般的域名解析来说，要难上很多。

路由追踪

nmap --traceroute -v 192.168.1.1/24

可以帮助用户了解网络通行的情况

路由跟踪通过发送互联网控制消息协议 (ICMP) 数据包来发挥作用，参与传输数据的每个路由器都会获得这些数据包。ICMP 数据包提供关于传输中使用的路由器是否能够有效传输数据的信息。

互联网协议 (IP) 跟踪器有助于确定数据必须经过的路由跃点，以及数据在跨节点传输时的响应延迟（节点负责将数据发送到目的地）。路由跟踪还可以让您找到无法发送数据的位置，即故障点。您还可以进行可视化路由跟踪，以获取每个跃点的直观表示。

4. 主机端口扫描

4.1 TCP Connect（）扫描

这是默认的方法是，通过试图与目标主机相应的TCP端口建立一个完整的TCP连接，从而判断目标主机端口的开放信息。

指令：namp -sT 域名/IP地址                     //-sT可省略
结果：列出开放的端口号

扫描截图：

可以一次扫描多台主机，只要将目标主机域名或者IP地址隔开即可，比如：

nmap www.taobao.com www.baidu.com
nmap 192.168.0.1 192.168.0.2
nmap 192.168.0.1,2                  //与上一条指令效果一样
namp -sL  Path+Filename             //从指定文件中读取主机地址进行扫描
nmap -F www.taobao.com              //快速扫描，扫描的端口更少

甚至可以扫描整个网络，使用网络地址即可如：192.168.0.*，当然需要的时间就会很长。

4.2 半开放扫描

半开放扫描（TCP SYN）：只发送一个SYN报文然后等待回应。相对于TCP Connect扫描更加安全，因为不建立一个完整的TCP连接，目标主机一般不会将此类行为记入安全日志，但是需要root权限。

nmap -sS 域名/IP地址

结果：

就发现扫描时间居然比使用-sT方式的时间还要久。

4.3 UDP端口扫描

使用UDP扫描方式确定目标主机的UDP端口开放情况，也需要root权限。

nmap -sU www.taobao.com

扫描显示所有的UDP端口都是open|filterd的，即开放的或者被防火墙过滤掉了，Nmap不能识别。

后面我又扫描了百度，发现百度只开放了一个500端口，这个端口是为ISAKMP提供服务，全称是Internet Security Association Key Management Protocol，即Internet安全联盟密钥管理协议。另外，自己的电脑是所有的端口都是关闭的。

4.4 IP协议号支持扫描

确定目标机支持哪些IP协议。指令：

nmap -sO www.taobao.com

结果：

这里我用wireshark进行了抓包，想看一下nmap对目标主机进行了哪些IP协议号进行测试，发现只有ICMP、TCP、UDP，没有发现GRE（通用路由协议）。

4.5 操作系统扫描

指令：

nmap -O www.taobao.com

结果：

5. 网站敏感文件和目录扫描

也就是对目标网站做个目录扫描。在web渗透中，探测Web目录结构和隐藏的敏感文件是一个十分重要的环节，从中可以获取网站的后台管理页面、文件上传界面、robots.txt，甚至可能扫描出备份文件从而得到网站的源代码。

常见的网站目录的扫描工具主要有：

• 御剑后台扫描工具
• dirbuster扫描工具
• dirsearch扫描工具
• dirb
• wwwscan
• Spinder.py
• Sensitivefilescan
• Weakfilescan
• ……

（1）dirsearch目录扫描

下载地址：https://github.com/maurosoria/dirsearch

该工具使用很简单，简单使用如下：

python3 dirsearch.py -u <URL> -e <EXTENSION>

• -u：url（必须）
• -e：扫描网站需要指定网站的脚本类型，* 为全部类型的脚本（必须）
• -w：字典（可选）
• -t：线程（可选）

（2）DirBuster目录扫描

DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。（需要java环境）

使用如下：

1. 首先在Target URL输入框中输入要扫描的网址并将扫描过程中的请求方法设置为“Auto Switch(HEAD and GET)”。
2. 自行设置线程（太大了容易造成系统死机哦）
3. 选择扫描类型，如果使用个人字典扫描，则选择“List based bruteforce”选项。
4. 单击“Browse”加载字典。
5. 单机“URL Fuzz”，选择URL模糊测试（不选择该选项则使用标准模式）
6. 在URL to fuzz里输入“/{dir}”。这里的{dir}是一个变量，用来代表字典中的每一行，运行时{dir}会被字典中的目录替换掉。
7. 点击“start”开始扫描

使用DirBuster扫描完成之后，查看扫描结果，这里的显示方式可以选择树状显示，也可以直接列出所有存在的页面：

Waf识别

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

wafw00f是一个Web应用防火墙（WAF）指纹识别的工具。

下载地址：https://github.com/EnableSecurity/wafw00f

wafw00f的工作原理：

\1. 发送正常的HTTP请求，然后分析响应，这可以识别出很多WAF。

\2. 如果不成功，它会发送一些（可能是恶意的）HTTP请求，使用简单的逻辑推断是哪一个WAF。

\3. 如果这也不成功，它会分析之前返回的响应，使用其它简单的算法猜测是否有某个WAF或者安全解决方案响应了我们的攻击。

kali上内置了该工具：

wafw00f支持非常多的WAF识别。要查看它能够检测到哪些WAF，请使用-l 选项：

……

简单使用如下：

wafw00f https://www.xxx.com/

6. 旁站和c段扫描

1.旁站的概念

旁站指的是同一服务器上的其他网站，很多时候，有些网站可能不是那么容易入侵。那么，可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话，可以先拿下其他网站的webshell，然后再提权拿到服务器的权限，最后就自然可以拿下该网站了！

2.C段

C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。

3.在线查询

旁站和C段在线查询地址：http://www.webscan.cc/ 、 http://www.5kik.com/

4.常用工具：

web：k8旁站、御剑1.5

K8Cscan大型内网渗透自定义插件化扫描神器，包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用，程序采用多线程批量扫描大型内网多个IP段C段主机，目前插件包含: C段旁注扫描、子域名扫描、Ftp密码爆破、Mysql密码爆破、Oracle密码爆破、MSSQL密码爆破、Windows/Linux系统密码爆破、存活主机扫描、端口扫描、Web信息探测、操作系统版本探测、Cisco思科设备扫描等,支持调用任意外部程序或脚本，支持Cobalt Strike联动

7. 漏洞扫描

• OpenVAS
• Tripwire IP360
• Nessus
• Comodo HackerProof
• Nexpose community
• Vulnerability Manager Plus
• Nikto
• Wireshark
• Aircrack-ng
• Retina

1.OpenVAS

OpenVAS漏洞扫描器是一种漏洞分析工具，由于其全面的特性，可以使用它来扫描服务器和网络设备。这些扫描器将通过扫描现有设施中的开放端口、错误配置和漏洞来查找IP地址并检查任何开放服务。扫描完成后，将自动生成报告并以电子邮件形式发送，以供进一步研究和更正。OpenVAS也可以从外部服务器进行操作，从黑客的角度出发，从而确定暴露的端口或服务并及时进行处理。如果您已经拥有一个内部事件响应或检测系统，则OpenVAS将帮助您使用网络渗透测试工具和整个警报来改进网络监控。

2.Tripwire IP360

Tripwire IP360是市场上领先的漏洞管理解决方案之一，它使用户能够识别其网络上的所有内容，包括内部部署，云和容器资产。Tripwire允许IT部门使用代理访问他们的资产，并减少代理扫描。它还与漏洞管理和风险管理集成在一起，使IT管理员和安全专业人员可以对安全管理采取整体方法。

3.Nessus漏洞扫描器

Tenable的Nessus Professional是一款面向安全专业人士的工具，负责解决补丁，软件问题，恶意软件和广告软件删除工具以及各种操作系统和应用程序上的错误配置。Nessus通过在黑客使用漏洞渗透网络之前及时识别漏洞来引入主动安全程序，还解决了远程代码执行漏洞。它关心大多数网络设备，包括虚拟，物理和云基础架构。

Tenable还被认为是Gartner Peer Insights在2020年3月之前进行危险性评估的首选方案。

4.Comodo HackerProof

Comodo HackerProof是另一款领先的最佳漏洞扫描程序，它具有强大的功能，可让IT部门每天扫描其漏洞。特有的PCI扫描选项，防止驱动攻击和站点检查器技术，有助于下一代网站扫描。除了这些，Comodo还提供了一个指标，让用户在与其互动时感到安全。

5.Nexpose社区

Nexpose社区是由Rapid7开发的漏洞扫描工具，它是涵盖大多数网络检查的开源解决方案。

该解决方案的多功能性是IT管理员的一大优势，可以将其集成到 Metaspoit框架能够在任何新设备访问网络时检测和扫描设备。此外，漏洞扫描程序还可以对威胁进行风险评分，范围在1-1000之间，从而为安全专家提供了在漏洞被利用之前修复正确漏洞的想法。Nexpose当前提供一年的免费试用。

6.Vulnerability Manager Plus

Vulnerability Manager Plus是由ManageEngine开发的针对该市场的新解决方案。随着其最近投放市场并涵盖其功能，它提供基于攻击者的分析，使网络管理员可以从黑客的角度检查现有漏洞。

除此之外，还可以进行自动扫描，影响评估，软件风险评估，安全性配置错误，修补程序，零日漏洞缓解扫描程序， 和 Web服务器渗透测试和强化是Vulnerability Manager Plus的其他亮点。完全免费提供25种设备。

7.Nikto

Nikto是一个免费的在线漏洞扫描器，可帮助您了解服务器功能，检查其版本，在网络服务器上进行测试以识别威胁和恶意软件的存在以及扫描不同的协议（例如https， httpd，HTTP等。可以在短时间内扫描服务器的多个端口。Nikto因其效率和服务器强化功能而受到青睐。

8.Wireshark

Wireshark被认为是市场上功能强大的网络协议分析器之一。

许多政府机构，企业，医疗保健和其他行业都使用它来非常敏锐地分析其网络。一旦Wireshark识别出威胁，便将其脱机以进行检查。Wireshark可以在Linux，macOS和Windows设备上运行。Wireshark的其他亮点还包括标准的三窗格数据包浏览器，使用GUI浏览网络数据，强大的过滤器，VoIP分析，对Kerberos，WEP，SSL / TLS等协议的解密支持。

您可以学习Wireshark教程的完整培训，以增强网络扫描的技能。

9.Aircrack-ng

Aircrack-ng是帮助WiFi网络的安全性的工具。它用于网络审计，并提供WiFi安全性和控制，还可以作为具有驱动程序和显卡，重放攻击的最佳wifi黑客应用程序之一。通过捕获数据包来处理丢失的密钥。支持的操作系统包括NetBSD，Windows，OS X，Linux和Solaris。

10.Retina

Retina漏洞扫描工具是基于Web的开源软件，从中心位置负责漏洞管理。它的功能包括修补、合规性、配置和报告。负责数据库、工作站、服务器分析和web应用程序，完全支持VCenter集成和应用程序扫描虚拟环境。它支持多个平台，提供完整的跨平台漏洞评估和安全性。

8. 社会工程学信息收集

8.1. 企业信息收集

一些网站如天眼查等，可以提供企业关系挖掘、工商信息、商标专利、企业年报等信息查询，可以提供企业的较为细致的信息。

公司主站中会有业务方向、合作单位等信息。

8.2. 人员信息收集

针对人员的信息收集考虑对目标重要人员、组织架构、社会关系的收集和分析。其中重要人员主要指高管、系统管理员、开发、运维、财务、人事、业务人员的个人电脑。

人员信息收集较容易的入口点是网站，网站中可能包含网站的开发、管理维护等人员的信息。从网站联系功能中和代码的注释信息中都可能得到的所有开发及维护人员的姓名和邮件地址及其他联系方式。

在获取这些信息后，可以在Github/Linkedin等社交、招聘网站中进一步查找这些人在互联网上发布的与目标站点有关的一切信息，分析并发现有用的信息。

此外，可以对获取到的邮箱进行密码爆破的操作，获取对应的密码。

8.3. 钓鱼

基于之前收集到的信息，可以使用Office/CHM/RAR/EXE/快捷方式等文件格式制作钓鱼邮件发送至目标，进一步收集信息。

其中Office可以使用Office漏洞、宏、OLE对象、PPSX等方式构造利用文件。

Exe可以使用特殊的Unicode控制字符如RLO (Right-to-Left Override) 等来构建容易混淆的文件名。

RAR主要是利用自解压等方式来构建恶意文件，同样加密的压缩包也在一定程度上可以逃逸邮件网关的检测。

如果前期信息收集获取到了运维等人员的邮箱，可以使用运维人员的邮箱发送，如果未收集到相关的信息，可以使用伪造发送源的方式发送邮件。

需要注意的是，钓鱼测试也需要注意合规问题，不能冒充监管单位、不能发送违法违规信息。具体可以参考《中华人民共和国电信条例》、《中华人民共和国互联网电子邮件服务管理办法》等法律法规。

8.4. 其他信息

公司的公众号、企业号、网站，员工的网盘、百度文库等可能会存在一些敏感信息，如VPN/堡垒机账号、TeamViewer账号、网络设备默认口令、服务器默认口令等。

9. 资产梳理和分类