红队专题-Web渗透之资产情报信息收集能力(钓鱼社工)总结

招募六边形战士队员

一起学习 代码审计、安全开发、web攻防、逆向等。。。
私信联系

钓鱼自动化

该工具来自于Github：https://github.com/A10ha/EmailSender有一个自己的私密邮件服务器，以防止在攻防演练中被溯源。1、支持腾讯企业邮、网易企业邮、阿里企业邮、自建邮服SMTP授权账号。2、批量发送钓鱼邮件，可暂停发送，可重置发送。3、伪造发件人名称与发件人邮箱。4、解析EML邮件原文文件，快捷利用邮件原文生成钓鱼邮件。5、快捷邮件正文HTML代码编辑预览，快速本地调试邮件内容。6、设置监听服务器，监听接收受害者是否打开邮件，适用于应急演练场景。7、本地日志记录，自动创建本地日志目录，记录全量日志以及错误日志。8、正文图片Base64编码插入，可用于插入钓鱼网页二维码等图片。1、在PyCharm中打开源码包，并按照软件提示进行相关配置。2、在 EmailReader.py 文件中填入你的邮件服务器地址及相关信息。3、使用Pyinstaller进行exe打包。接下来你可以进行合法使用了，以下是软件主界面：

zip域名

https://forum.butian.net/share/2086
邮件可信其二内容可信.zip域名钓鱼链接
https://mp.weixin.qq.com/s/nIwFgy0crAR6eBv6dhU09Q.zip顶级域名合法的正斜杠字符 U+002F (/)和字符 U+2044 (⁄) 和 U+2215 (∕)URL：https://google.com@bing.com 实际上会将用户带到bing.com。
根据 2016 年的 Chromium 错误报告，主机名中允许使用 Unicode 字符 U+2044 (⁄) 和 U+2215 (∕)，但不会被浏览器视为正斜杠。这两个 unicode 字符都类似于合法的正斜杠字符 U+002F (/)。如果我们制作一个像这样的 url：https://google.com∕gmail∕inbox@bing.comhttps://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
我们把上面的网址，把https://后面的正斜杠全部换成U+2215（∕）斜杠，@在v.1.27.1.zip前加上运算符。https://github.com／kubernetes／kubernetes／archive／refs／tags／@v1.27.1.zip

ARP欺骗

https://mp.weixin.qq.com/s/WyFPxxjSLF-diSUA-cTRZA
简析ARP欺骗

渗透测试-会话劫持-登陆劫持天涯论坛

分类

DLL劫持攻击

工具

arpspoof ARP劫持
wireshark 抓包
ferret 重新生产包后的文件
hamster 重放流量

小白鼠

先端口转发一下 防止小白鼠掉线

echo “1” > /proc/sys/net/ipv4/ip_forward 重启网络服务或主机后效果不再。

知识引用

/proc/sys/net/ipv4/ip_forward
该文件表示是否打开IP转发。
0，禁止
1，转发
基本用途：如VPN、路由产品的利用；

出于安全考虑，Linux系统默认是禁止数据包转发的。
所谓转发即当主机拥有多于一块的网卡时，其中一块收到数据包，
根据数据包的目的ip地址将包发往本机另一网卡，该网卡根据路由表继续发送数据包。这通常就是路由器所要实现的功能。

配置Linux系统的ip转发功能，首先保证硬件连通，然后打开系统的转发功能

less /proc/sys/net/ipv4/ip_forward，该文件内容为0，表示禁止数据包转发，1表示允许，将其修改为1。

若要其自动执行，可将命令echo “1” > /proc/sys/net/ipv4/ip_forward 写入脚本/etc/rc.d/rc.local
或者 在/etc/sysconfig/network脚本中添加 FORWARD_IPV4=“YES”

!arp 效果一样 跟直接输入arpspoof

新建标签页 打开wireshark

start

正好看到以前发的帖子

用这个号点击 逛一逛

stop

另存为 Pcap格式

停掉欺骗

切换到所在文件夹 cd Desktop

安装 ferret

添加32位的支持，更新，安装ferret

重放 自动生成hamster.txt文件

开启代理端

忘了路径

搜索

39个

完成

另一种方法 （推荐）网段实时劫持更新

快捷方式

快捷方式钓鱼手法鉴赏https://mp.weixin.qq.com/s/KRyzFaF5lfSHuQvBRppDAQ在攻击者的角度，其也会利用快捷方式文件进行钓鱼攻击，甚至部分APT组织将LNK文件作为其投递的主要载荷。快捷方式除了可以设置一些特殊的属性，
例如“目标”、“起始位置”、“备注”，它还具备几个显而易见的特点：
1、支持带参数执行任意目标文件；
2、支持显示目标文件的图标；
3、支持设置文件启动方式；
4、文件名和后缀名可以完全自定义。很明显这些特点是为了帮助用户更好地管理和使用快捷方式，但是利用这些特性，黑客也可以方便的进行网络钓鱼欺骗。双击快捷方式导致命令执行复杂利用手段分析修改文件大小修改文件图标
修改文件指向显示攻击者可以通过修改快捷方式文件结构来任意控制目标指向的显示：
EnvironmentVariableDataBlock中的TargetAnsi及TargetUnicode，LinkTargetIDList结构中的第五个ItemID。微软的官方介绍文档自行研究：https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-shllink/ae350202-3ba9-4790-9e9e-98935f4ee5af。
修改快捷方式文件LinkTargetIDList结构的ItemID
修改快捷方式文件EnvironmentVariableDataBlock中的TargetAnsi及TargetUnicodeInternet快捷方式
一种用于连接到互联网上的资源或网站的快捷方式，它同样支持任意图标修改、文件名和后缀名完全自定义。
与普通快捷方式相比，Internet快捷方式文件后缀名为.URL，并且支持与网页相关的属性设置。还可以将url设置成file路径去执行文件，例如：URL=file:\\\\\\C:\\Users\\xxx.exe欺骗伪造
除了url属性外，Internet快捷方式还支持很多其他的属性，攻击者可以通过IconFile、IconIndex来控制文件图标的显示，有个好消息是，由于微软取消了Internet快捷方式的远程ico引用，目前只能显示当前电脑中已存在的图标，不过即使如此攻击者仍然可以构建欺骗性很强的钓鱼文件。很多APT组织的主力攻击手段(例如：海莲花、响尾蛇等)。

Tools

burpsuite

 burpsuite https://github.com/gh0stkey/HaEBurp Collaboratordnslog平台通过dns/http外带方式得到当前用户权限确定站库分离/是否出网外带出来的进程中发现有无DefenderBurp Collaborator会将返回的Base64自动转为小写，而Base64又是区分大小写的，所以咱这里不能正常解码，换个dnslog平台就好了echo "xxxx" | base64 -dBurpsuite抓包测试时可以用%20或+号来替代空格，如果直接用空格可能执行失败，浏览器会自动转URL编码，但Burpsuite不会log2jfastjsonshirosniff BurpSuite2022.3.2 jpy jython.jarCO2
J2EEScan
Log4Shell Everywhere
Active Scan++
Autorize
Turbo Intruder
Software Vulnerability Scanner
Burp Bounty, Scan Check Builder
Decompressor
WSDL Wizard 
CSRF Scanner
CSRF Token Tracker
Additional Scanner Checks 
XSS Validator
SQLiPy Sqlmap IntegrationG:\Hack\sniff\Burp\BurpSuite-Extensions\captcha-killer-modified-0.16-jdk8.jar
Burp验证码识别插件
G:\Hack\sniff\Burp\BurpSuite-Extensions\wooyun-payload-master\WooyunSearch\target\WooyunSearch-1.0-SNAPSHOT-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\APIKit-main\target\APIKit-1.0-SNAPSHOT-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\BurpBountyPro2.4\BurpBountyPro.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\BurpFastJsonScan\BurpFastJsonScan-1.0.6.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\BurpFastJsonScan-main\target\BurpFastJsonScan-2.2.2.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\BurpShiroPassiveScan-master\target\BurpShiroPassiveScan-1.0-SNAPSHOT.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\bypasswaf-master\bypasswaf.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\fastjsonScan-main\FastjsonScan.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\Fastjson-Scanner-master\fastjson_scan.py
G:\Hack\sniff\Burp\BurpSuite-Extensions\J2EEScan-master\target\J2EEScan-2.0.1-dev-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\JWT4B-master\target\JWT4B-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\log4j2burpscanner-main\target\log4j2burpscanner-0.18.6-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\log4j2Scan\log4j2Scan.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\shiroPoc-master\target\shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\Struts2-RCE-master\struts_ext_v2.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\wooyun-payload-master\WooyunSearch\target\WooyunSearch-1.0-SNAPSHOT-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\BurpCrypto-0.1.9.1-full.jar
burpsuite加密插件的集合,支持AES / RSA / DES / ExecJs(在burpsuite中执行JS加密代码)
G:\Hack\sniff\Burp\BurpSuite-Extensions\burp-log4shell.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\BurpShiroPassiveScan-1.7.6.jar
对BurpSuite传进来的每个不同的域名+端口的流量进行一次shiro检测
G:\Hack\sniff\Burp\BurpSuite-Extensions\chunked-coding-converter-0.4.0.jar
一键分块传输编码,实现文件上传,命令执行,sql注入等漏洞的WAF绕过功能
G:\Hack\sniff\Burp\BurpSuite-Extensions\FastjsonScan.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\Fiora-v0.1-jar-with-dependencies.jar
漏洞PoC框架的图形版
G:\Hack\sniff\Burp\BurpSuite-Extensions\gason-0.9.6.jar
sqlmap.jar的gui版,使用gason插件+SqlMap测试SQL注入漏洞
G:\Hack\sniff\Burp\BurpSuite-Extensions\HackBar.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\HaE-2.1.3.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\log4j2burpscanner-0.18.2-jdk8.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\Log4j2Scan-0.10-SNAPSHOT-01.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\Log4JScan-1.0.0-SNAPSHOT-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\LoggerPlusPlus.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\passive-scan-client-0.3.0.jar
流量转发插件,用来拓展Burp的第三方功能 将正常访问网站的流量与提交给被动扫描器的流量分开,互不影响
G:\Hack\sniff\Burp\BurpSuite-Extensions\shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jar
G:\Hack\sniff\Burp\BurpSuite-Extensions\SpringScan_JDK8.jar 
G:\Hack\sniff\Burp\BurpSuite-Extensions\WooyunSearch-1.0-SNAPSHOT-jar-with-dependencies.jar

App 抓包

ffuf

模糊测试

扫描二级域名譬如我们想扫描baidu.com的子域名，可以使用**FUZZ.**baidu.comFUZZ将会被替换为字典里的内容字典 subdomains-top1million-110000.txt ffuf -u http://FUZZ.baidu.com -w subdomains-top1million-110000.txt

QingScan

漏洞挖掘工具 
缝合怪扫描https://gitee.com/songboy/QingScan

Wireshark

抓包嗅探 wireshark

Cloud

CF

https://wiki.teamssix.com/cf/https://github.com/teamssix/cf/releasescf configcf alibaba perm
./cf alibaba permcf alibaba ecs lscf alibaba ecs exec -bhttps://zhuanlan.zhihu.com/p/540129832

En-Decode

ffffffff0x

加解密/编解码  
ctf  CryptionTool改进 https://github.com/ffffffff0x/BerylEnigma

Info

dirb

dirmap

dirsearch

python dirsearch.py -u http://xxxx -w 指定字典python dirsearch.py -u http://xxxx -r 递归目录（跑出目录后，继续跑目录下面的目录）python dirsearch.py -u http://xxxx --random-agents 使用随机UA 

选项：
-h、 --帮助显示此帮助消息并退出
强制性的：
-u URL，--URL=URL URL目标
-L URLIST，--url list=URLIST
URL列表目标
-e扩展，--EXTENSIONS=扩展
用逗号分隔的扩展列表（示例：php、asp）
字典设置：
-w单词列表，--WORDLIST=单词列表
-l、 --小写
-f、 --力延伸
强制扩展每个单词列表条目（如
DirBuster公司）
常规设置：
-s DELAY，--DELAY=延迟
请求之间的延迟（浮点数）
-r、 --递归Bruteforce
--抑制空，--抑制空
--scan subdir=SCANSUBDIRS，--scan subdr=SCANSUB DIRS
扫描给定-u|--url的子目录（分隔
以逗号表示）
--exclude subdir=EXCLUDESUBDIRS，--exclude subsdir=EXCRUDESUBDIR
递归过程中排除以下子目录
扫描（用逗号分隔）
-t螺纹计数，--threads=螺纹计数
线程数
-x EXCLUDESTATUSTODES，--exclude status=EXCLUDESATUSTODES
排除状态代码，用逗号分隔（例如：301，
500)
-c COOKIE，--COOKIE=COOKIE
--ua=用户代理，--用户代理=用户代理
-F、 --遵循重定向
-H标题，--header=标题
要添加的标题（例如：--header“Referer:
example.com“--header”用户代理：IE“
--随机代理，--随机用户代理
连接设置：
--timeout=超时连接超时
--ip=ip将名称解析为ip地址
--proxy=HTTPPROXY，--http proxy=HTTPPROXY
Http代理（示例：localhost:8080
--最大重试次数=最大重试次数
-b、 --按主机名请求
默认情况下，dirsearch将通过IP请求速度。
这将按主机名强制请求
报告：
--简单报告=简单输出文件
仅找到路径
--纯文本报告=PLAINTEXTOUTPUTFILE
找到具有状态代码的路径
--json报告=JSONOUTPUTFILE

dnsenum

# DNSenum简介
DNSenum是一款dns查询工具。
它能够通过Google或字典文件猜测可能存在的域名，
并对一个网段进行反向查询。
它不仅可以查询网站的主机地址信息，域名服务器和邮件交换记录，
还可以在域名服务器上执行axfr（区域传送）请求，
然后通过Google脚步得到扩展域名信息，
提取子域名并查询，
最后计算IP地址并执行whois查询，执行反向查询，把地址写入文件。 # 参数选项
-h来查询全部命令
```cppdnsenum VERSION:1.2.6
Usage: dnsenum [Options] <domain>
[Options]:
Note: If no -f tag supplied will default to /usr/share/dnsenum/dns.txt or
the dns.txt file in the same directory as dnsenum.pl
GENERAL OPTIONS:--dnsserver   <server>Use this DNS server for A, NS and MX queries.--enum                Shortcut option equivalent to --threads 5 -s 15 -w.-h, --help            Print this help message.--noreverse           Skip the reverse lookup operations.--nocolor             Disable ANSIColor output.--private             Show and save private ips at the end of the file domain_ips.txt.--subfile <file>      Write all valid subdomains to this file.-t, --timeout <value> The tcp and udp timeout values in seconds (default: 10s).--threads <value>     The number of threads that will perform different queries.-v, --verbose         Be verbose: show all the progress and all the error messages.
GOOGLE SCRAPING OPTIONS:-p, --pages <value>   The number of google search pages to process when scraping names,the default is 5 pages, the -s switch must be specified.-s, --scrap <value>   The maximum number of subdomains that will be scraped from Google (default 15).
BRUTE FORCE OPTIONS:-f, --file <file>     Read subdomains from this file to perform brute force. (Takes priority over default dns.txt)-u, --update  <a|g|r|z>Update the file specified with the -f switch with valid subdomains.a (all)         Update using all results.g               Update using only google scraping results.r               Update using only reverse lookup results.z               Update using only zonetransfer results.-r, --recursion       Recursion on subdomains, brute force all discovered subdomains that have an NS record.
WHOIS NETRANGE OPTIONS:-d, --delay <value>   The maximum value of seconds to wait between whois queries, the value is defined randomly, default: 3s.-w, --whois           Perform the whois queries on c class network ranges.**Warning**: this can generate very large netranges and it will take lot of time to perform reverse lookups.
REVERSE LOOKUP OPTIONS:-e, --exclude <regexp>Exclude PTR records that match the regexp expression from reverse lookup results, useful on invalid hostnames.
OUTPUT OPTIONS:-o --output <file>    Output in XML format. Can be imported in MagicTree (www.gremwell.com)

 常用选项：
–enum 相当于–threads 5 -s 15 -w.
-v 详细显示所有进度和所有错误消息，加上-v会很慢，会动态的进行记录扫描，产生消息过多
-w 执行whois查询
-o [file] 以XML格式输出到指定文件中，方便之后查询
-t/ --timeout 超时设置，可以提高速度但可能会影响查询结果 

使用测试

常规使用

 
dnsenum -enum xxxx.com

基本的域名IP信息。

IN:INTERNET,表示资源都在Internet上

 A记录代表"主机名称"与"IP"地址的对应关系， 作用是把名称转换成IP地址，意思是说该主机的IP对应之意！DNS使用A记录来回答"某主机名称所对应的IP地址是什么？"
主机名必须使用A记录转译成IP地址，
网络层才知道如何选择路由，并将数据包送到目的地.
你要知道的是A就代表了将域名转换成ip，现在好多的工具都有这个功能。 

对baidu进行区域传送，结果基本为refused，
现在绝大部分dns服务器对区域传送进行了严格的限制

 Scraping baidu.com subdomains from Google:                                                                                                
___________________________________________                                                                                               Error GETing http://www.google.com/ncr:
Can't connect to www.google.com:80 (Network is unreachable) at /usr/bin/dnsenum line 971. 

dnsenum进行Google脚步搜索， 未连接到Google自然就无法使用这个功能。

使用字典文件进行dns查询

 dnsenum --noreverse -f /usr/share/dnsenum/dns.txt sina.com

子域名暴力查询部分

 Brute forcing with /usr/share/dnsenum/dns.txt:                                                                                            
_______________________________________________                                                                                           11.baidu.com.                            60       IN    CNAME    jpaasmatrix.e.shifen.com.                                                
jpaasmatrix.e.shifen.com.                60       IN    CNAME    domain-offline.baidu.com.
domain-offline.baidu.com.                60       IN    A        182.61.62.50
a.baidu.com.                             5713     IN    CNAME    asp.e.shifen.com.
asp.e.shifen.com.                        10       IN    A        112.80.248.124
abc.baidu.com.                           434      IN    CNAME    www.a.shifen.com.
www.a.shifen.com.                        71       IN    A        180.101.49.11
www.a.shifen.com.                        71       IN    A        180.101.49.12
act.baidu.com.                           60       IN    CNAME    eopa.n.shifen.com.
eopa.n.shifen.com.                       92       IN    A        180.101.49.193
eopa.n.shifen.com.                       92       IN    A        180.101.49.192

CNAME（别名）：
用于将DNS域名的别名映射到另一个主要的或规范的名称 。

意思就是通过CNAME将你访问的没有IP地址的域名间接的变成访问另外一个主机。

比如你要访问xxx.baidu.com实际访问的时候，
就变成了访问ww1.xxx.cn.w.xxxx.com，它只是起到一个映射的功能。

C类IP地址

IP块

由于dnsenum会使用反向查询IP地址，所以使用–noreserve跳过这个过程以加快查询速度。

HQLmap

cd HQLmap
And launch the project :python HQLmap.py
Usage is then displayed :Usage: HQLmap.py [options]Options:-h, --help            show this help message and exit--url=URL             qURL to pentest--cookie=COOKIE       Cookie to test it--param=PARAM         Param to test--postdata=POSTDATA   Postdata (POST Method)  --message=BLIND_HQLI_MESSAGEMessage appearing while Blind HQLi--tables              Tries to gather as much tables as possible (WithBruteforce)--T=TABLE             Name of the table you want to get--table_name_file=FILE_TABLEDB file for name of tables--columns             Tries to gather as much columns as possible (WithBruteforce)--C=COLUMN            Name of the column you want to get--column_name_file=FILE_COLUMNDB file for name of columns--check               Check if host is vulnerable--user                Tries to get user() from dbms--count               Get count of specified table(s)--dump                Dump specified table(s) / column(s)--results             Enumerate results after session--verbose             Verbose mode选项：
-h、 --帮助显示此帮助消息并退出
--url=url qURL到pentest
--cookie=cookie cookie来测试它
--param=要测试的param参数
--postdata=postdata postdata（POST方法）
--消息=BLIND_HQLI_message 盲HQL时出现信息
--tables尝试收集尽可能多的表（使用
残暴）
--T=要获取的表的名称
--table_name_file=file_table
表名称的DB文件
--columns尝试收集尽可能多的列（使用
残暴）
--C=要获取的列的列名称
--column_name_file=file_column
列名称的DB文件
--check检查主机是否易受攻击
--user尝试从dbms获取user（）
--count获取指定表的计数
--dump转储指定的表/列
--results在会话后枚举结果
--详细详细模式

python HQLmap.py --url="http://localhost:9110/ropeytasks/task/search?q=test&search=Search" --param=q --cookie="JSESSIONID=D50C4AD5BA0F05FA426CF660D9E069B7" --check

python HQLmap.py --url="http://localhost:9110/ropeytasks/task/search?q=test&search=Search" --param=q --cookie="JSESSIONID=A101D5D76A260E9ECD2E10ADE9DF0E47" --T=User --results --dump --postdata="username=Test&password=Test!!!"

$ python HQLmap.py --url="http://localhost:9110/ropeytasks/task/search?q=test&search=Search" --param=q --cookie="JSESSIONID=D50C4AD5BA0F05FA426CF660D9E069B7" --tables

https://github.com/PaulSec/HQLmap

masscan

# 介绍
masscan是一种Internet规模的端口扫描程序，可用于对Internet或内部网络。虽然默认传输速率仅为100数据包/秒，它可以可选地高达2500万个数据包/秒，速度足以在3分钟内扫描Internet的一个端口。# 0x00 常用参数```pythonmasscan <IP地址/范围> -p端口选项 masscan --ports 1-10000 192.168.26.131 --adapter-ip 192.168.26.1
--adapter-ip 指定发包的ip地址--adapter-port 指定发包源端口--adapter-mac 指定发包的源MAC地址--router-mac 指定网关MAC地址--exclude IP地址范围黑名单，防止masscan扫描--excludefile 指定IP地址范围黑名单文件--includefile,-iL 读取一个范围列表进行扫描--wait 指定发包后的等待时间 

0x01 选项

  •<ip / range>：假定命令行上没有前缀“-”的任何内容是IP地址或范围。有三种有效格式。首先是单个IPv4地址，例如“ 192.168.0.1”。第二个范围是“ 10.0.0.1-10.0.0.100”。第三个是CIDR地址，例如“ 0.0.0.0/0”。在必须至少指定一个目标。可以指定多个目标。这个可以指定为多个选项，以空格分隔，也可以分隔以逗号作为单个选项，例如10.0.0.0/8,192.168.0.1。 •--range <ip / range>：与上述目标范围规格相同，不同之处在于一个命名参数而不是一个未命名参数。•-p <端口，--ports <端口>：指定要扫描的端口。一个可以指定端口，例如-p80。可以指定端口范围，例如-p20-25。可以指定端口/范围的列表，例如-p80,20-25。 UDP端口也可以指定，例如--ports U：161，U：1024-1100。•--banners：指定应抓取横幅，例如HTTP服务器版本部分，HTML标题字段等。仅支持一些协议。•--rate <packets-per-second>：指定所需的传输速率包。这可以是非常小的数字，例如0.1，用于在每10秒1个速率，对于10000000这样的非常大的数字，尝试以每秒1000万个数据包的速度进行传输。以我的经验，Windows每秒可以处理25万个数据包，而最新版本的Linux可以每秒可以处理250万个数据包需要PF_RING驱动程序达到25百万个数据包/秒。•-c <文件名>，-conf <文件名>：读取配置文件。格式配置文件的说明如下。•--resume <文件名>：与--conf相同，只是一些选项是自动的-临时设置，例如--append-output。配置文件格式如下所述。•--echo：不运行，而是将当前配置转储到文件中。这个然后，可以将文件与-c选项一起使用。此输出的格式为在下面的“配置文件”下进行介绍。•-e <ifname>，-adapter <ifname>：使用命名的原始网络接口，例如“ eth0”或“ dna1”。如果未指定，则找到的第一个网络接口带有将使用默认网关。•--adapter-ip <IP地址>：使用此IP地址发送数据包。如果没有指定确定，则将使用绑定到网络接口的第一个IP地址。可以指定一个范围，而不是一个IP地址。注意：的大小范围必须是2的偶数幂，例如1、2、4、8、16、1024等。礼服。•--adapter-port <端口>：使用此端口号作为源发送数据包。如果如果未指定，则会在40000到60000范围内选择一个随机端口。此端口应由主机防火墙（如iptables）过滤，以防止主机网络堆栈不会干扰到达的数据包。代替单端口，可以指定一个范围，例如40000-40003。注意：的大小范围必须是2的偶数幂，例如上面的示例总共4个地址。•--adapter-mac <mac-address>：使用此作为源MAC ad-发送数据包连衣裙。如果未指定，则绑定到网络的第一个MAC地址位于-将使用接口。•--router-mac <mac地址>：将数据包作为destina-发送到此MAC地址tion。如果未指定，则为网络接口的网关地址将被ARPed。•--ping：指示扫描应包括ICMP回显请求。这可能包含在TCP和UDP扫描中。•--exclude <ip / range>：将IP地址或范围列入黑名单，以防止其被扫描。这会覆盖任何目标规范，从而保证该地址/范围不会被扫描。与普通格式相同目标规范。•--excludefile <文件名>：在同一tar中读取排除范围列表得到上面描述的格式。这些范围会覆盖所有目标，从而防止他们被扫描。•--append-output：使输出追加到文件，而不是覆盖文件。•--iflist：列出可用的网络接口，然后退出。•--retries：每隔1秒发送一次的重试次数。注意由于此扫描程序是无状态的，因此无论是否回复，都会发送重试已经收到。•--nmap：打印帮助，而不是这些选项的nmap兼容性替代品。•--pcap-payloads：从libpcap文件中读取包含数据包的数据包，并提取UDP有效负载，并将这些有效负载与目标相关联港口。这些有效负载将在通过以下方式发送UDP数据包时使用匹配目标端口。每个端口仅记住一个有效负载。 Sim‐与--nmap-payloads类似。•--nmap-payloads <文件名>：以与nmap相同的格式读取文件文件nmap-payloads。它包含UDP有效负载，以便我们可以发送有用的UDP包而不是空包。与--pcap-payloads类似。•--http-user-agent <user-agent>：将现有的user-agent字段替换为执行HTTP请求时的指示值。•--open-only：仅报告打开的端口，不报告关闭的端口。•--pcap <文件名>：将收到的数据包（但不传输的数据包）保存到libpcap格式的文件。•--packet-trace：打印发送和接收的那些数据包的摘要。这是在低速率下很有用，例如每秒几个数据包，但会淹没终端机率很高。•--pfring：强制使用PF_RING驱动程序。如果出现以下情况，程序将退出PF_RING DNA漂移器不可用。•--resume-index：扫描中的暂停点。•