Kali 工具集

水性虽能流不导则不通，人性虽能智不教则不达。

导航

• 侦查扫描

  • 综合扫描
  • Web 扫描
  • 专项扫描

• 密码/爆破

• 载荷/编码

• C2 管理

• 通道转发

• 内网攻击

• 后渗透

• 域渗透

• 客户端

• 服务端

• 隐写分析

• 杂七杂八

• 其它参考

---

侦查扫描

综合扫描

1. nmap：偏主机发现、服务探测，漏洞扫描功能较弱不全面。【注：第三方脚本库：nmap-vulners、nmap-nse-scripts、CVEScannerV2、Nmap-NSE-scripts-collection】
2. hexstrike-ai：以 AI 驱动 150 多个网络安全工具，可自动化整个渗透攻击流程。
4. nessus/openVAS：较全面的漏洞扫描器。
5. sn1per：整合 nmap、nessus、nikto 等扫描结果的扫描器。
6. ARL：资产发现扫描。
7. amass：偏互联网资产发现扫描。
8. recon-ng：开源的 OSINT 信息收集框架。旨在从各种搜索引擎、社交媒体等渠道收集信息。
9. sherlock：通过用户名在社交网络中搜索社交媒体账户。如：知乎、GitHub、YouTube 等。
10. maigret：同 sherlock 的功能一样。
11. social-analyzer：同 sherlock 的功能一样。【注：还支持关系网图形化分析展示。】

Web 扫描

1. nikto：老牌 web 扫描器。
2. EZ：类 nikto 的一款漏洞扫描器。
3. xray：现代化的 web 扫描器。
4. nuclei：支持对 Web 和系统进行漏扫的扫描器。【第三方模板库：Nuclei-Templates-Collection、 nuclei-templates、NucleiTP】【注：模板的质量决定了扫描的效果，但官方模板似乎并不怎样。】
5. wpscan：针对 WordPress 应用的扫描器。
6. joomscan：针对 Joomla 应用的简单扫描器。
7. Struts2-Scan：针对基于 Struts2 框架的扫描器。
8. JenkinsExploit-GUI：针对 Jenkins 应用的扫描器。
9. loxs：可以检测网页 SQLi、CRLF、XSS、LFi 等漏洞的扫描器。
10. sqlmap：检测网页 SQL 注入 的扫描器。
11. jsql-injection：检测网页 SQL 注入 的扫描器。【注：java 制作】
12. NoSQLMap：自动化的 NOSQL 数据库枚举和 Web 应用程序利用工具。
13. commix：检测网页 命令注入 的扫描器。
14. SSTImap：检测网页 SSTI 注入 的扫描器。【注：现代 web 应用框架使用的模板渲染引擎易出现该漏洞。】
15. xnLinkFinder：检测网页中可能存在的 API 链接。【注：对于类似 vue 这样的前后端分离应用可能很有用。】
16. SSRFmap：检测网页 SSRF 漏洞 的扫描器。
17. Gopherus：辅助 SSRF 漏洞 进行的利用工具。
18. IDOR-Forge：检测网页 IDOR 漏洞 的扫描器。
19. LFImap/kadimus：检测网页 文件包含 的扫描器。
20. XSStrike：检测网页 XSS 注入 的扫描器。
21. davtest：对支持 WebDAV 功能的网页进行文件上传/执行测试。
22. xupload：检测网页的 文件上传 功能。
23. AutorizePro：检测网页的 越权 行为。【BurpSuite 插件】
24. ====
25. wafw00f：探测网站是否受到 WAF 防护。
26. wfuzz/ffuf/fuzzdb：面向 web 的模糊测试工具。
27. dirsearch/gobuster/feroxbuster：Web 路径扫描器。【注：gobuster 还支持子域名爆破】
28. subDomainsBrute：子域名爆破器。
29. arjun：HTTP 请求的额外参数扫描器。

专项扫描

1. enum4linux-ng：针对 SMB(445)、RPC(139)、NBT(137-138) 服务的信息枚举工具。
2. odat：Oracle 数据库安全检测。
3. sslscan：服务器 SSL 套件薄弱点检测。

密码/爆破

1. crunch：依据指定的条件生成字典。
2. pydictor：支持更丰富的功能来生成字典。【注：和 crunch 较相像】
3. wister：可根据提供的关键字生成字典。👍
4. cewl/cewler：爬取网页中出现的单词生成字典。
5. cupp：基于输入的信息（个人、公司等关键词）生成字典。
6. nth(name-that-hash)：hash 类型识别，同时也输出 john 和 hashcat 所对应的类型码。
7. john/hashcat：离线暴力破解哈希值。
8. hydra：在线暴力破解网络服务登录密码。
9. nxc：面向 Windows 服务的在线暴力破解及利用的工具。【注：面向 win 的效果要比 hydra 好些。】
10. su-bruteforce ：Linux 下借助 su 进行用户密码爆破。
11. Impost3r：sudo 密码小偷。
12. Aircrack-ng：暴力破解 Wifi 密码。
13. mkpasswd/pass_gen.pl：生成指定类型的密码哈希。

载荷/编码

1. hoaxshell：反向载荷生成器。
2. DNS-Shell: 基于 DNS 的 Shell。
3. msfpc/msfvenom：支持各种类型的载荷生成器。
4. reverse-shell-generator：基于系统内置应用实现的反向 Shell。【网址】
5. shellcodeloader：基于 windows 的 shellcode 加载器。
6. venom：基于 msf 制作的载荷。
7. Oneshell：基于 Linux 的一个有趣的载荷控制。
8. ====
9. exe2hex：将 exe 文件转换为 bat/powershell 类型的脚本文件。
10. darkPulse：载荷免杀。

C2 管理

1. Weevely：仅支持 PHP 语言的 WebShell 管理器。
2. AntSword-蚁剑：支持多种语言的 WebShell 管理器。
3. Godzilla-哥斯拉：支持多种语言的 WebShell 管理器。
4. Behinder-冰蝎：支持多种语言的 WebShell 管理器。
5. penelope：C2 框架。【轻量且功能丰富】
6. Metasploit：C2 框架。
7. Cobalt Strike：C2 框架。
8. Sliver：C2 框架。
9. Empire ：C2 框架。
10. POSHC2：C2 框架。
11. Supershell：C2 框架。
12. godoh：基于 DNS 查询的 C2 框架。
13. GC2-sheet：基于 Google 在线表格的 C2 框架。
14. Beef：面向浏览器的 C2 框架。
15. RouterSploit：面向嵌入式设备的 C2 框架。
16. ====
17. SET：面向社会工程的渗透框架。

通道转发

1. Stowaway：一个非常强大的多级代理管理工具，适合需要在跳板中嵌入跳板的环境下使用。
2. Neo-reGeorg：通过 webshell 建立的 socks5 跳板通道。【注：tunnel.nosocket.php 适用于 php5 以上版本，tunnel.php 适应 php5 以下。】
3. dns2tcp：通过 DNS 中转 TCP 连接。
4. chisel：类 SSH 端口转发的一种支持加密 TCP/UDP 连接的通道技术。
5. socat：支持在多种协议之间转发数据的多用途中继器。【注：此仓库为预编译版本。】
6. nps：一款轻量级、可视化管理的内网穿透代理服务器。
7. frp ：内网穿透工具。
8. rtcp：python 实现的 TCP 端口转发工具。

内网攻击

1. nbtscan：扫描内网 NETBIOS 名称信息。【注：NETBIOS 名称一般是 Windows 主机在使用，Linux 较少用但也用。】
2. netdiscover：使用 ARP 协议扫描存活主机。
3. ettercap/bettercap：针对内网中间人攻击的综合套件。
4. Responder：针对内网协议 LLMNR、NBT-NS、MDNS 的投毒器，并内置 HTTP/SMB/MSSQL/FTP/LDAP 等流氓认证服务器，骗取受害者的账户密码。
5. arpspoof：ARP 断网攻击工具。
6. sslsplit：SSL 中间人攻击工具，该工具对客户端伪装成服务器，对服务器伪装成客户端，伪装 HTTPS 服务器时也需要伪造证书。
7. ssh-mitm：SSH 中间人攻击利用。

sslsplit 使用教程：
（1）该工具能成功应用的**前提条件**：主机开启ip路由转发（sysctl -w net.ipv4.ip_forward=1）、iptables端口重定向（iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-ports 8443与ssl关联的端口全都重定向到8443端口，与tcp关联的端口全部都重定向到8080）、受害者流量欺骗到本机（arpspoof欺骗、更改受害者网关地址为攻击机）、sslsplit命令执行（开启监听）。
（2）命令基本用法：sslsplit -D -l conn.txt -S ./log -k gzjr.key -c gzjr.crt -X https.pcap -P https 0.0.0.0 8443 http 0.0.0.0 8080【-S选项中的目录下会包含众多解密过的http请求响应明文报文，可通过grep key *.log搜索关键字进而进一步定位敏感信息；-X选项会将客户端发送/接收的请求/响应数据包捕获以供wireshark工具查看；-P选项会转发过往流量即便针对该流量的ssl切割未能正常进行】
（3）sslsplit端口监听支持的**5种proxyspec类型**：https、ssl、http、tcp、autossl，基于ssl的协议除了https协议外还有ftps、pops等，对于这些协议的中间人攻击便可使用ssl类型的监听；而基于非ssl协议的中间人攻击便可以使用tcp类型的监听；至于https和ssl监听类型的区别便是：sslsplit对基于ssl协议的http的数据进行了解析优化，-S目录下的日志的内容解析的会更详细一些。
（4）sslsplit支持同时对多个端口进行不同类型的监听，如 sslsplit -option ssl 0.0.0.0 8443 tcp 0.0.0.0 8080将同时对8443、8080端口上来的数据进行解析。
（5）工具缺点：因伪造证书的原因客户端每次刷新页面都会提示不安全的站点。

后渗透

1. PowerUp.ps1：Windows 本地提权枚举工具。【简洁版】
2. PrivescCheck：Windows 本地提权枚举工具。【可视化】
3. Seatbelt：Windows 本地提权枚举工具。【繁杂版】
4. wesng：Windows 本地提权枚举工具。
5. linux-exploit-suggester：Linux 本地提权枚举工具。
6. SUID3NUM：Linux 本地提权枚举工具。
7. BeRoot：同时支持 Win/Lin 平台的本地提权检查工具。
8. PEASS-ng：同时支持 Win/Lin 平台的本地提权检查工具。
9. incognito：枚举 Windows 用户登录凭据令牌。
10. RunasCs：Runas 改进版，支持通过参数传递密码。
11. PowerShdll：以 Rundll32 的方式运行 PowerShell 脚本。
12. ScheduleRunner：Windows 计划任务利用。【注：简用版】
13. WMIHACKER：基于 Windows WMI 实现的多种利用方式。【注：专为免杀绕过而设计】
14. UACME：Windows UAC 绕过工具集。
15. pspy：Linux 进程活动监视器。
16. SSH-Snake：SSH 遍历攻击。
17. CACM：一款 Linux 权限维持+后渗透的工具。【注：支持端口复用、权限维持等多种功能】
18. HackBrowserData/Pillager：对浏览器 书签、历史记录、cookies、保存密码等数据 进行本地或离线提取。
19. DynastyPersist：为 Linux 提供多种权限维持的方式。【注：自动实现 ssh 私钥登录、计划任务、后门用户等】👍

域渗透

1. linWinPwn：域信息扫描工具一体化集成。【注：该工具集成了众多域扫描工具，如：impacket、bloodhound、netexec、enum4linux-ng 等】
2. impacket：面向 Windows 域的工具套件。
3. rubeus：滥用 Kerberos 协议的工具集。
4. mimikatz：Windows 凭据提取和利用工具。
5. GhostAD：轻量级域信息枚举工具。
6. bloodhound/BloodHound.py：域信息采集及结果可视化分析工具。
7. kerbrute/kerbrute.py：域用户名爆破工具。
8. pywerview：PowerView 脚本的 Python 版本。【注：该工具支持使用凭据远程枚举，而 PowerView 只能在本地枚举。】

客户端

1. impacket-smbclient/smbclient-ng：SMB 客户端。【注：交互较友好】
2. evil-winrm：WinRM 客户端。
3. xfreerdp/rdesktop：RDP 远程桌面客户端。
4. impacket-mssqlclient：MSSQL 客户端。
5. cadaver：WebDAV 客户端。
6. snmp-check/snmpwalk：SNMP 客户端。
7. rpcclient：RPC 客户端。
8. Swaks：SMTP 邮件测试工具。

服务端

1. impacket-smbserver：SMB 服务器。
2. 3proxy：HTTP[S]/Socks 代理服务器。
3. dnschf：一个简版且可定制的 DNS 服务器。【示例：dnschef --fakedomains www.baidu.com --fakeip 2.2.2.2 -i 127.0.0.1】

隐写分析

1. binwalk：固件分析工具。【注：自动提取：binwalk --run-as=root -e AB.jpg ；或配合 dd 手动分割文件：dd if=AB.jpg of=C.jpg skip=100 bs=1 status=progress，其中 skip 是 DECIMAL 显示的值。】
2. steghide：将数据隐藏在各种图像和音频文件中的隐写工具。
3. stegseek：破解通过 steghide 隐写且加密的图像和音频文件。
4. exiftool：图像文件元数据编辑器。

杂七杂八

1. rlwrap：提升 shell 交互工具。
2. ConPtyShell：提升 Windows 完整交互 shell 。
3. ProxyCat：代理池节点自动轮换工具。
4. GitHack ：.git 泄露利用脚本，通过泄露的 .git 文件夹，还原源代码。
5. jwt_tool：测试/利用/破解 JWT 的工具箱。
6. flask-session-cookie-manager：Flask 会话加解密工具。
7. driftnet：监视网络流量，并从中提取显示 JPEG/GIF 图像。
8. pcapfix：修复受损的 pcap 流量文件。
9. display-im6：命令行图片查看工具。
10. httrack：网站克隆
11. ntpdate：从指定的 NTP 时间服务器同步时间。
12. batcat：类似于 cat，但它支持大量编程语言文件的高亮显示。
13. hping3：支持自定义 ICMP/TCP/UDP 数据包，几乎可以实现任意数据包的构造。【注：类似于 Python 中可以自定义网络数据包的 Scapy 库的功能。】
14. BurpSuite-collections：burpsuite 插件收集清单。
15. Pentest-Windows：基于 Windows 的渗透工具武器化集合。

其它参考

• Pentest_Note
• 404StarLink
• hackingtool
• Awesome-Hacking