twofi使用教程
twofi(全称为”Twitter Words of Interest”)是Kali Linux中一款专注于从Twitter(现X平台)提取数据中提取关键词的工具。它通过搜索特定用户推文、指定话题或关键词,抓取并提取有价值的单词,生成定制化词表,主要用于渗透测试中的密码破解、社会工程学攻击或目标信息收集。
核心价值在于获取与目标相关的”上下文敏感词汇”(如企业产品名、员工常用术语等),让密码词表更贴合实际场景,提升破解成功率。
二、工具参数说明
1. 基础选项
| 参数 | 中文说明 | 补充说明 |
|---|---|---|
--help, -h | 显示帮助信息并退出 | 列出所有参数及使用格式 |
--config <file> | 指定配置文件路径 | 默认使用twofi.yml(需配置Twitter API密钥) |
--count, -c | 输出包含单词出现次数 | 如”projectX:50″表示出现50次 |
--min_word_length, -m | 指定提取单词的最小长度 | 如-m 4保留4位及以上单词 |
--verbose, -v | 启用详细输出模式 | 显示抓取过程,便于排查错误 |
2. 搜索目标选项
| 参数 | 中文说明 | 使用示例 |
|---|---|---|
--term_file, -T <file> | 从文件读取搜索术语列表 | --term_file terms.txt |
--terms, -t | 逗号分隔的搜索术语 | --terms "projectX,techconf2024" |
--user_file, -U <file> | 从文件读取Twitter用户名列表 | --user_file users.txt |
--users, -u | 逗号分隔的Twitter用户名 | --users "@company_tech,@dev_lead" |
三、使用教程
1. 配置Twitter API密钥(必需)
- 访问Twitter Developer Platform注册账号并创建应用
- 获取consumer_key、consumer_secret、access_token、access_token_secret
- 创建配置文件:
mkdir -p ~/.twofi && nano ~/.twofi/twofi.yml - 填入API信息:
consumer_key: "你的密钥" consumer_secret: "你的密钥" access_token: "你的令牌" access_token_secret: "你的令牌"
2. 常用命令示例
(1)按关键词提取词汇
twofi -t "projectX,techconf2024" -m 4 -c > project_words.txt
功能:提取包含指定关键词的4位以上单词,带出现次数,保存到文件
(2)按用户名抓取推文
twofi -u "@company_tech,@dev_lead" -m 5 -v > employee_words.txt
功能:抓取指定用户的推文,提取5位以上单词,启用详细模式
(3)从文件批量导入目标
twofi -T terms.txt -U users.txt -m 3 > batch_words.txt
功能:从文件读取术语和用户名,批量提取3位以上单词
(4)生成密码词表(结合rsmangler)
twofi -t "projectX" -m 4 -c | cut -d ':' -f 1 | rsmangler --min 8 -o passwords.txt
功能:提取关键词并变异生成8位以上密码词表
3. 使用注意事项
- 遵守Twitter API调用限制,避免高频请求
- 仅抓取公开数据,禁止侵犯隐私
- API密钥需保密,设置文件权限:
chmod 600 ~/.twofi/twofi.yml - 过滤无意义词汇:
grep -v -E "the|and|or" words.txt