---

name: red-team-tools description: "实施来自顶级安全研究人员的成熟方法论和工具工作流，用于有效的侦察、漏洞发现和漏洞赏金猎取。自动化常见任务同时保持对攻击面的全面覆盖。" risk: offensive source: community author: zebbern date_added: "2026-02-27"

仅限授权使用：仅在授权安全评估、防御验证或受控教育环境中使用此技能。

红队工具和方法论

目的

实施来自顶级安全研究人员的成熟方法论和工具工作流，用于有效的侦察、漏洞发现和漏洞赏金猎取。自动化常见任务同时保持对攻击面的全面覆盖。

输入/前提条件

• 目标范围定义（域名、IP 范围、应用程序）
• 基于 Linux 的攻击机器（Kali、Ubuntu）
• 漏洞赏金计划规则和范围
• 已安装工具依赖（Go、Python、Ruby）
• 各种服务的 API 密钥（Shodan、Censys 等）

输出/交付物

• 全面的子域名枚举
• 存活主机发现和技术指纹识别
• 已识别的漏洞和攻击向量
• 自动化侦察管道输出
• 用于报告的文档化发现

核心工作流

1. 项目跟踪和收购

设置侦察跟踪：

# Create project structure
mkdir -p target/{recon,vulns,reports}
cd target

# Find acquisitions using Crunchbase
# Search manually for subsidiary companies

# Get ASN for targets
amass intel -org "Target Company" -src

# Alternative ASN lookup
curl -s "https://bgp.he.net/search?search=targetcompany&commit=Search"

2. 子域名枚举

全面的子域名发现：

# Create wildcards file
echo "target.com" > wildcards

# Run Amass passively
amass enum -passive -d target.com -src -o amass_passive.txt

# Run Amass actively
amass enum -active -d target.com -src -o amass_active.txt

# Use Subfinder
subfinder -d target.com -silent -o subfinder.txt

# Asset discovery
cat wildcards | assetfinder --subs-only | anew domains.txt

# Alternative subdomain tools
findomain -t target.com -o

# Generate permutations with dnsgen
cat domains.txt | dnsgen - | httprobe > permuted.txt

# Combine all sources
cat amass_*.txt subfinder.txt | sort -u > all_subs.txt

3. 存活主机发现

识别响应的主机：

# Check which hosts are live with httprobe
cat domains.txt | httprobe -c 80 --prefer-https | anew hosts.txt

# Use httpx for more details
cat domains.txt | httpx -title -tech-detect -status-code -o live_hosts.txt

# Alternative with massdns
massdns -r resolvers.txt -t A -o S domains.txt > resolved.txt

4. 技术指纹识别

识别技术以进行针对性攻击：

# Whatweb scanning
whatweb -i hosts.txt -a 3 -v > tech_stack.txt

# Nuclei technology detection
nuclei -l hosts.txt -t technologies/ -o tech_nuclei.txt

# Wappalyzer (if available)
# Browser extension for manual review

5. 内容发现

查找隐藏的端点和文件：

# Directory bruteforce with ffuf
ffuf -ac -v -u https://target.com/FUZZ -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt

# Historical URLs from Wayback
waybackurls target.com | tee wayback.txt

# Find all URLs with gau
gau target.com | tee all_urls.txt

# Parameter discovery
cat all_urls.txt | grep "=" | sort -u > params.txt

# Generate custom wordlist from historical data
cat all_urls.txt | unfurl paths | sort -u > custom_wordlist.txt

6. 应用分析（Jason Haddix 方法）

热力图优先区域：

1. 文件上传 - 测试注入、XXE、SSRF、Shell 上传
2. 内容类型 - 在 Burp 中过滤 multipart 表单
3. API - 寻找隐藏方法、缺乏认证
4. 个人资料部分 - 存储型 XSS、自定义字段
5. 集成 - 通过第三方的 SSRF
6. 错误页面 - 异常注入点

7. 漏洞扫描

# Nuclei vulnerability scanning
nuclei -l hosts.txt -t cves/ -severity critical,high -o vulns.txt

# XSS testing with dalfox
cat params.txt | dalfox pipe -o xss_results.txt

# SSRF testing
cat params.txt | grep -i "url\|path\|redirect\|uri" | sort -u > ssrf_params.txt

# SQL injection with sqlmap
sqlmap -m params.txt --batch --level 3 --risk 2

8. 报告

记录所有发现，包括：

• 漏洞描述和严重性
• 复现步骤
• 影响评估
• 修复建议
• 概念验证（PoC）

最佳实践

• 始终在授权范围内操作
• 记录所有操作以供审计
• 使用被动技术优先，减少噪音
• 验证发现后再报告
• 遵守负责任的披露政策

限制

• 仅在任务明确匹配上述范围时使用此技能。
• 不要将输出视为环境特定验证、测试或专家审查的替代品。
• 如果缺少所需的输入、权限、安全边界或成功标准，请停下来寻求澄清。