您现在的位置: 华盟网 >> Hack >> 工具介绍 >> 正文

[组图]工具推荐:Recon-ng,WEB安全探测框架

2016/4/24 作者:彩儿 来源: 本站整理
导读 Recon-ng是一个片面的web探测框架,它由python编写,有着独立的模块、数据库交互功用、交互式协助提示和命令补全的特性。它提供了一个弱小的开源web探测机制,协助测试人员疾速彻底地停止探测。

     

  Recon-ng是一个全面的web探测框架,它由python编写,有着独立的模块、数据库交互功能、交互式帮助提示和命令补全的特性。它提供了一个强大的开源web探测机制,帮助测试人员快速彻底地进行探测。

  Recon-ng框架简介

  Recon-ng的使用和模式与主流的metasploit框架有点类似,这减少了用户学习利用该框架的难度。当然,Recon-ng也有着自己的特点,其为基于web的开源探测工具。

  如果你想要进行exp利用,请使用metasploit框架。如果你想进行社工,请使用社工工具包。如果你想进行被动探测,请使用Recon-ng。

  至于主动检测工具的例子,大家可以看看谷歌安全团队的Skipfish。

  Recon-ng是一个完全模块化的框架,新的python开发者也能很容易地进行模块贡献。每一个模块都是“module”类的子类,“module”类是一个定制的“cmd”解释器,内置提供了常用任务(如标准输出、数据库交互、进行web请求和API key管理)的简单接口。可以说,基本所有复杂的工作都已经被作者完成。我们想要构建新的模块会非常简单,仅仅需要几分钟。

  Modules(模块)

  Recon-ng约有80个recon模块,2个发现模块,2个exp利用模块,7个报告模块和2个导入模块:

  cache_snoop – DNS缓存录制

  interesting_files – 敏感文件探测

  command_injector – 远程命令注入shell接口

  xpath_bruter – Xpath注入爆破

  csv_file – 高级csv文件导入

  list – List文件导入

  point_usage – Jigsaw – 统计信息提取用法

  purchase_contact – Jigsaw – 简单的联系查询

  search_contacts – Jigsaw联系枚举

  jigsaw_auth – Jigsaw认证联系枚举

  linkedin_auth – LinkedIn认证联系枚举

  github_miner – Github资源挖掘

  whois_miner – Whois数据挖掘

  bing_linkedin – Bing Linkedin信息采集

  email_validator – SalesMaple邮箱验证

  mailtester – MailTester邮箱验证

  mangle – 联系分离

  unmangle –联系反分离

  hibp_breach –Breach搜索

  hibp_paste – Paste搜索

  pwnedlist – PwnedList验证

  migrate_contacts – 域名数据迁移联系

  facebook_directory – Facebook目录爬行

  fullcontact – FullContact联系枚举

  adobe – Adobe Hash破解

  bozocrack – PyBozoCrack Hash 查询

  hashes_org – Hashes.org Hash查询

  leakdb – leakdb Hash查询

  metacrawler – 元数据提取

  pgp_search – PGP Key Owner查询

  salesmaple – SalesMaple联系获取

  whois_pocs – Whois POC获取

  account_creds – PwnedList – 账户认证信息获取

  api_usage – PwnedList – API使用信息

  domain_creds – PwnedList – Pwned域名认证获取

  domain_ispwned – PwnedList – Pwned域名统计获取

  leak_lookup – PwnedList – 泄露信息查询

  leaks_dump – PwnedList –泄露信息获取

  brute_suffix – DNS公共后缀爆破

  baidu_site – Baidu主机名枚举

  bing_domain_api – Bing API主机名枚举

  bing_domain_web – Bing主机名枚举

  brute_hosts – DNS主机名爆破

  builtwith – BuiltWith枚举

  google_site_api – Google CSE主机名枚举

  google_site_web – Google主机名枚举

  netcraft – Netcraft主机名枚举

  shodan_hostname – Shodan主机名枚举

  ssl_san – SSL SAN查询

  vpnhunter – VPNHunter查询

  yahoo_domain – Yahoo主机名枚举

  zone_transfer – DNS域文件收集

  ghdb – Google Hacking数据库

  punkspider – PunkSPIDER漏洞探测

  xssed – XSSed域名查询

  xssposed – XSSposed域名查询

  migrate_hosts – 域名数据迁移host

  bing_ip – Bing API旁站查询

  freegeoip –FreeGeoIP ip定位查询

  ip_neighbor – My-IP-Neighbors.com查询

  ipinfodb – IPInfoDB GeoIP查询

  resolve – 主机名解析器

  reverse_resolve – 反解析

  ssltools – SSLTools.com主机名查询

  geocode – 地理位置编码

  reverse_geocode – 反地理位置编码

  flickr – Flickr地理位置查询

  instagram – Instagram地理位置查询

  picasa – Picasa地理位置查询

  shodan – Shodan地理位置查询

  twitter – Twitter地理位置查询

  whois_orgs – Whois公司信息收集

  reverse_resolve – 反解析

  shodan_net – Shodan网络枚举

  census_2012 – Internet Census 2012 查询

  sonar_cio – Project Sonar查询

  migrate_ports – 主机端口数据迁移

  dev_diver – Dev Diver Repository检查

  linkedin – Linkedin联系获取

  linkedin_crawl – Linkedin信息抓取

  namechk – NameChk.com用户名验证profiler – OSINT HUMINT信息收集

  twitter – Twitter操作

  github_repos – Github代码枚举

  gists_search – Github Gist搜索

  github_dorks – Github Dork分析

  csv – CSV文件生成

  html – HTML报告生成

  json – JSON报告生成

  list – List生成

  pushpin – PushPin报告生成

  xlsx – XLSX文件创建

  xml – XML报告生成

  所有的第三方库/包需要提前安装,以下是依赖库和包:

  dnspython – http://www.dnspython.org/

  dicttoxml – https://github.com/quandyfactory/dicttoxml/

  jsonrpclib –https://github.com/joshmarshall/jsonrpclib/

  lxml – http://lxml.de/

  mechanize –http://wwwsearch.sourceforge.net/mechanize/

  slowaes –https://code.google.com/p/slowaes/

  XlsxWriter – https://github.com/jmcnamara/XlsxWriter/

  你可以通过以下方式下载:

  git clone https://LaNMaSteR53@bitbucket.org/LaNMaSteR53/recon-ng.git

  进入recon-ng目录:

  cd recon-ng

  安装依赖:

  pip install -r REQUIREMENTS

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇Hack:

  • 下一篇Hack:
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴