一、CertSniff
certSniff 是用 Python 编写的证书透明度日志关键字观察器。它使用 certstream 库来监视包含在文件中定义的关键字的证书创建日志。
您可以使用与您的受害域相关的几个关键字来设置此运行,任何证书创建都将被记录下来,并可能导致发现您之前不知道的域。
安装:
git clone https://github.com/A-poc/certSniff;cd certSniff/;pip install -r requirements.txt用法:
python3 certSniff.py -f example.txt
二、gobuster
用于暴力破解受害者网站上的文件/文件夹路径的好工具。
安装:
sudo apt install gobuster用法:
gobuster dir -u "https://google.com" -w /usr/share/wordlists/dirb/big.txt --wildcard -b 301,401,403,404,500 -t 20
一种旨在执行强制浏览的工具,这种攻击的目的是枚举和访问 Web 应用程序未引用但攻击者仍可访问的资源。Feroxbuster 使用暴力结合词表来搜索目标目录中未链接的内容。这些资源可能存储有关 Web 应用程序和操作系统的敏感信息,例如源代码、凭据、内部网络寻址等...
安装:(Kali)
sudo apt update && sudo apt install -y feroxbuster用法:
./feroxbuster -u http://127.1 -x pdf -x js,html -x php txt json,docx./feroxbuster -u http://127.1 -H Accept:application/json "Authorization: Bearer {token}"cat targets | ./feroxbuster --stdin --silent -s 200 301 302 --redirects -x js | fff -s 200 -o js-files./feroxbuster -u http://127.1 --insecure --proxy http://127.0.0.1:8080
四、dnsrecon
dnsrecon 是一个用于枚举 DNS 记录(MX、SOA、NS、A、AAAA、SPF 和 TXT)的 pyhton 工具,并且可以提供许多新的关联受害者主机以从单个域搜索中转向。
安装:
sudo apt install dnsrecon用法:
dnsrecon -d google.com
五、AORT
用于枚举子域、枚举 DNS、WAF 检测、WHOIS、端口扫描、回溯机、电子邮件收集的工具。
安装:
git clone https://github.com/D3Ext/AORT; cd AORT; pip3 install -r requirements.txt用法:
python3 AORT.py -d google.com
现在加入星球送书一本,平时推荐的书籍(随机),仅限前50名
· 推 荐 阅 读 ·
京东购买链接:https://item.jd.com/13730012.html
全书分为4篇共25章:基础知识篇包括初识PHP、PHP环境搭建和开发工具、PHP语言基础、流程控制语句、字符串操作、正则表达式、PHP数组、PHP与Web页面交互、PHP与JavaScript交互以及日期和时间;核心技术篇包括Cookie与Session、图形图像处理技术、文件系统、面向对象、PHP加密技术、MySQL数据库基础、phpMyAdmin图形化管理工具、PHP操作MySQL数据库、PDO数据库抽象层以及ThinkPHP框架;高级应用篇包括Smarty模板技术、PHP与XML技术以及PHP与Ajax技术;项目实战篇包括应用Smarty模板开发电子商务网站和应用ThinkPHP框架开发编程e学网等内容。
原文始发于微信公众号(Web安全工具库):给大家推荐几款红队工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论