6_渗透测试信息收集完全指南

渗透测试信息收集完全指南

目录

  1. 信息收集概述
  2. 域名信息收集
    • 2.1 Whois查询
    • 2.2 网站备案查询
  3. 子域名收集
    • 3.1 子域名的作用与类型
    • 3.2 在线子域名查询
    • 3.3 工具爆破子域名
    • 3.4 证书透明日志收集
    • 3.5 隐藏域名Hosts碰撞
  4. 查找网站真实IP(CDN绕过)
    • 4.1 判断是否使用CDN
    • 4.2 历史DNS解析记录
    • 4.3 子域名解析IP
    • 4.4 国外DNS解析
    • 4.5 图标/特征搜索(Fofa、Zoomeye)
    • 4.6 SSL/TLS证书查询
    • 4.7 邮箱获取真实IP
    • 4.8 网站敏感文件(phpinfo等)
    • 4.9 F5 LTM解码法
    • 4.10 APP/小程序抓包
    • 4.11 配置不当绕过
    • 4.12 Banner匹配与全网扫描
    • 4.13 长期监控与流量攻击
    • 4.14 被动获取(SSRF/XSS)
  5. 端口扫描与服务识别
    • 5.1 常见端口与服务
    • 5.2 端口扫描工具(Nmap、Masscan、御剑)
    • 5.3 在线端口检测
  6. 旁站与C段探测
    • 6.1 旁站查询
    • 6.2 C段扫描
  7. 网络空间搜索引擎
    • 7.1 Fofa
    • 7.2 Shodan
    • 7.3 Zoomeye
    • 7.4 360测绘(Quake)
    • 7.5 Censys
  8. 敏感目录与文件扫描
    • 8.1 常见敏感文件列表
    • 8.2 目录扫描工具
  9. 网站指纹与CMS识别
    • 9.1 在线指纹识别
    • 9.2 工具与浏览器插件
  10. 敏感信息收集(GitHub、网盘、社工库)
    • 10.1 GitHub搜索语法
    • 10.2 网盘搜索
    • 10.3 社工库与注册信息
  11. 移动端资产收集
    • 11.1 微信/支付宝小程序
    • 11.2 APP收集
  12. 社交信息与社工
  13. JS敏感信息与接口发现
  14. 防护软件识别
  15. 自动化资产收集工具
  16. 信息收集总结与建议

1. 信息收集概述

渗透的本质是信息收集,也叫资产收集。信息收集是渗透测试前期最重要的工作,收集足够多的信息才能发现更多攻击面。

信息收集的分类

  • 服务器相关信息(真实IP、系统类型、版本、开放端口、WAF等)
  • 网站指纹(CMS、CDN、证书、DNS记录)
  • Whois信息(姓名、备案、邮箱、电话反查)
  • 子域名、旁站、C段
  • Google hacking、文件搜索
  • 目录结构、后台、敏感文件
  • 传输协议、通用漏洞、GitHub源码

2. 域名信息收集

2.1 Whois查询

域名注册时填写的个人/企业信息(如未隐藏)可查询,包括注册人、邮箱、电话、注册商、DNS服务器等。可反查注册人/邮箱获取更多域名。

常用在线Whois查询

2.2 网站备案查询

备案信息包含单位名称、备案编号、负责人、电话、邮箱等。

推荐平台


3. 子域名收集

3.1 子域名的作用与类型

  • 子域名扩大测试范围,常见资产:办公系统、邮箱、论坛、商城、管理后台。
  • 域名类型
    • A记录:域名→IP
    • CNAME:别名记录,指向另一个域名
    • MX:邮件交换记录
    • NS:域名服务器记录
    • TXT:文本说明(常用于SPF反垃圾邮件)

3.2 在线子域名查询

3.3 工具爆破子域名

工具 说明 命令示例
Layer子域名挖掘机 GUI界面,字典爆破 直接运行
SubDomainBrute Python,支持超大字典 subDomainsBrute.py target.com
Sublist3r 搜索引擎+暴力枚举 sublist3r -d target.com -b
OneForAll 功能全面,支持多种收集方式 python3 oneforall.py --target target.com run
Wydomain 多线程爆破 wydomain.py -d target.com
FuzzDomain 模糊测试 配置字典

3.4 证书透明日志收集

SSL/TLS证书公开日志中常包含域名、子域名信息。

3.5 隐藏域名Hosts碰撞

原理:某些服务器禁止IP直接访问,但绑定正确Host头后能正常访问。收集目标IP段和域名列表,组合发送请求,比对响应标题/长度,发现未公开的资产。

工具:自定义脚本或使用hosts碰撞项目。


4. 查找网站真实IP(CDN绕过)

4.1 判断是否使用CDN

4.2 历史DNS解析记录

查询域名历史解析IP,早期的记录可能为真实IP。

4.3 子域名解析IP

若子域名未使用CDN,其解析IP可能与主站同服务器或同C段。先收集子域名,再批量解析IP。

4.4 国外DNS解析

部分CDN只对国内加速,国外访问可能直接得到真实IP。使用国外DNS解析工具(如dnsdumpster、dnshistory)。

4.5 图标/特征搜索(Fofa、Zoomeye)

  • 下载网站favicon.ico,计算其hash,在Fofa/Zoomeye搜索该hash,可定位使用相同图标的服务器。
  • Fofa语法:icon_hash="..."body="特征字符串"

4.6 SSL/TLS证书查询

  • 在crt.sh上查找目标域名的证书Hash(SHA1)。
  • 在Censys搜索该Hash,可列出所有使用相同证书的IP。
  • Censys语法:443.https.tls.certificate.parsed.fingerprint_sha256: "..."

4.7 邮箱获取真实IP

网站发送的邮件(如注册确认、密码找回)的邮件头中可能包含真实服务器IP(Received from字段)。

4.8 网站敏感文件(phpinfo等)

  • phpinfo页面中的 SERVER_ADDR_SERVER["SERVER_ADDR"] 会显示真实IP。
  • 其他探针文件、源代码泄露、GitHub泄露等也可能包含服务器IP。

4.9 F5 LTM解码法

若响应头有 Set-Cookie: BIGipServerXXX=数字.数字.0000,将第一段数字(如 487098378)转十六进制,按从右至左每两位取一组转十进制,即为真实IP(如 10.136.8.29)。

4.10 APP/小程序抓包

使用BurpSuite或Fiddler抓取APP或小程序请求,请求中可能直接包含真实服务器IP。

4.11 配置不当绕过

  • 若CDN只配置了 www.test.com,而 test.com 未配置,访问 test.com 可绕过。
  • 若CDN只配置了HTTPS,访问HTTP版本可绕过。

4.12 Banner匹配与全网扫描

  • 使用Zmap/Masscan扫描全网或目标IP段,获取HTTP banner,与目标站点的banner对比,匹配相同特征的IP。
  • 示例:masscan -p 80,443 192.168.0.0/24 --rate=10000,然后对比响应头、title等。

4.13 长期监控与流量攻击

  • 长期监控域名解析变化,可能某些时段CDN切换或回源。
  • 流量攻击(DDoS)导致CDN防御失效或回源,可能暴露真实IP(仅限合法授权测试)。

4.14 被动获取(SSRF/XSS)

  • 若站点存在SSRF漏洞,可让服务器向我们的监听服务器发起请求,获取真实IP。
  • XSS同样可获取客户端IP,但更常用于获取用户浏览器信息。

5. 端口扫描与服务识别

5.1 常见端口与服务

端口 服务
21 FTP
22 SSH
23 Telnet
25 SMTP
53 DNS
80/443/8080 HTTP/HTTPS
135/139/445 SMB
1433 MSSQL
1521 Oracle
3306 MySQL
3389 RDP
5432 PostgreSQL
6379 Redis
27017 MongoDB
9200 Elasticsearch
11211 Memcached
873 Rsync
7001/7002 WebLogic
50050 CobaltStrike TeamServer

5.2 端口扫描工具

  • Nmap(全能):
    nmap -sV -p- 192.168.1.1          # 版本探测
    nmap -sT -sU -p 1-65535 192.168.1.1
    nmap -iL ip.txt                   # 批量
    
  • Masscan(极速):
    masscan -p 1-65535 --rate=1000 192.168.1.0/24
    
  • 御剑端口扫描器:GUI,支持自定义端口列表。
  • Zmap:全网级扫描。

5.3 在线端口检测

http://coolaf.com/tool/port


6. 旁站与C段探测

6.1 旁站查询

6.2 C段扫描

  • 在线:https://c.webscan.cc
  • 工具:Nmap/Masscan扫描整个C段(如 192.168.1.0/24
  • 脚本:可使用Python调用webscan.cc API批量查询。

7. 网络空间搜索引擎

引擎 网址 常用语法
Fofa https://fofa.so domain="target.com", ip="x.x.x.0/24", title="关键词", body="特征"
Shodan https://shodan.io hostname:target.com, net:x.x.x.0/24
Zoomeye https://zoomeye.org site:target.com, service:http
Quake(360) https://quake.360.cn domain:"target.com"
Censys https://censys.io 证书查询、IP查询

8. 敏感目录与文件扫描

8.1 常见敏感文件列表

  • robots.txt
  • crossdomain.xml
  • sitemap.xml
  • 后台目录(如 /admin, /manage
  • 安装包(.rar, .zip, .7z, .tar.gz
  • 网站备份(.bak, .swp, ~
  • 上传目录(/uploads, /files
  • PHP探针(phpinfo.php, t.php
  • .git, .svn 版本控制泄露
  • WEB-INF/web.xml(Java)
  • .DS_Store(Mac)

8.2 目录扫描工具

  • 御剑(GUI)
  • 7kbstorm(GUI)
  • Dirsearchpython3 dirsearch.py -u https://target.com -e *
  • Gobustergobuster dir -u https://target.com -w wordlist.txt -x php,html
  • Dirmappython3 dirmap.py -i https://target.com -lcf
  • BBScan:批量扫描

9. 网站指纹与CMS识别

9.1 在线指纹识别

9.2 工具与浏览器插件

  • Wappalyzer(Firefox/Chrome插件)
  • 御剑CMS识别
  • WhatCMS

10. 敏感信息收集(GitHub、网盘、社工库)

10.1 GitHub搜索语法

site:Github.com smtp password
site:Github.com root password
site:Github.com "User ID" "Password"
site:Github.com inurl:sql
site:Github.com svn password
site:Github.com 密码
site:Github.com 内部

可使用关键词监控工具(如Hawkeye、x-patrol)。

10.2 网盘搜索

10.3 社工库与注册信息

  • 社工库(Telegram机器人、本地库)
  • 网站注册查询:http://www.reg007.com(查看用户注册过哪些网站)

11. 移动端资产收集

11.1 微信/支付宝小程序

11.2 APP收集


12. 社交信息与社工

  • 领英(LinkedIn):查找公司员工、职位
  • 脉脉、Boss直聘:招聘信息可能泄露内部系统
  • QQ/微信群:混入内部群,观察聊天获取敏感信息
  • 客服/销售:假装客户获取测试账号、系统信息

13. JS敏感信息与接口发现

现代Web应用将大量API和参数打包在JS文件中,可通过工具提取。

  • JSFinderpython3 JSFinder.py -u https://target.com -d
  • SecretFinderpython3 SecretFinder.py -i https://target.com -e
  • Packer-Fuzzer:自动提取API并检测未授权、SQL注入等漏洞。

14. 防护软件识别

识别目标是否使用WAF(云WAF、硬件WAF、主机防护如安全狗、D盾)。

  • 可通过输入测试语句(如 ')观察返回页面特征。
  • 使用工具如 wafw00f

15. 自动化资产收集工具


16. 信息收集总结与建议

  1. 先外后内:先收集公开信息(Whois、子域名、备案),再深入扫描端口、目录。
  2. 多源交叉:结合多种工具和平台,避免遗漏。
  3. 注重细节:JS文件、robots.txt、错误页面都可能隐藏有用信息。
  4. CDN绕过:优先尝试历史解析、子域名、证书查询等低成本方法。
  5. 持续监控:资产会变化,定期重新收集。
  6. 合法合规:所有信息收集应在授权范围内进行。

注意本笔记是源于暗月安全培训 https://edu.moonsec.com 的ai整合版

posted @ 2026-07-07 12:16  新手打怪兽  阅读(4)  评论(0)    收藏  举报