1.網站目錄掃描：

可以藉助metasploit中的brute_dir,dir_listing,dir_scanner等輔助模組來完成，主要使用暴力破解的方式工作。

可以看到，在這個testfire.net中存在有幾個隱藏目錄（返回程式碼403：沒有許可權訪問）

2.使用search_email_collector蒐集特定地址的郵件地址

search_email_collector
要求提供一個郵箱字尾，通過多個搜尋引擎的查詢結果分析使用此後綴的郵箱地址，可以很方便的獲得大量郵件地址。

3.主機探測和埠掃描

（1）使用metasploit中的modules/auxiliary/scanner/discovery中的arp_sweep或者udp_sweep

arp_sweep使用ARP請求美劇本地區域網中的所有活躍主機

udp_sweep通過傳送UDP資料包探查制定主機是否活躍，兵發現主機上的UDP服務

（2）使用nmap工具來探測

預設引數下，nmap使用傳送ICMP請求來探測存活主機（即-sP選項）

如果是在INTERNET環境中，則應該使用-Pn選項，不要使用ICMP ping掃描，因為ICMP資料包通常無法穿透Internet上的網路邊界；還可以使用-PU通過對開放的UDP埠進行探測以確定存活的主機。

可以使用-O選項辨識目標主機的作業系統；再加以-sV選項辨識作業系統中執行的服務的型別資訊

4.埠掃描與服務型別探測

利用nmap或者metasploit中的auxiliary/scanner/portscan中的掃描器進行埠掃描

ack：通過ACK掃描的方式對防火牆上未被遮蔽的埠進行探測；

ftpbounce：通過FTP BOUNCE攻擊的原理對TCP服務進行列舉

syn：使用傳送TCP SYN標誌的方式探測開放的埠

tcp：通過一次完整的TCP連結來判斷埠是否開放

xmas：一種更為隱蔽的掃描方式，通過傳送FIN,PSH,URG標誌能夠躲避一些TCP標記檢測器的過濾

常用nmap掃描型別引數：

-sT:TCP connect掃描

-sS:TCP syn掃描

-sF/-sX/-sN:通過傳送一些標誌位以避開裝置或軟體的檢測

-sP:ICMP掃描

-sU:探測目標主機開放了哪些UDP埠

-sA:TCP ACk掃描

掃描選項：

-Pn:在掃描之前，不傳送ICMP echo請求測試目標是否活躍

-O:辨識作業系統等資訊

-F:快速掃描模式

-p<埠範圍>：指定埠掃描範圍