6_渗透测试信息收集完全指南
渗透测试信息收集完全指南
目录
- 信息收集概述
- 域名信息收集
- 2.1 Whois查询
- 2.2 网站备案查询
- 子域名收集
- 3.1 子域名的作用与类型
- 3.2 在线子域名查询
- 3.3 工具爆破子域名
- 3.4 证书透明日志收集
- 3.5 隐藏域名Hosts碰撞
- 查找网站真实IP(CDN绕过)
- 4.1 判断是否使用CDN
- 4.2 历史DNS解析记录
- 4.3 子域名解析IP
- 4.4 国外DNS解析
- 4.5 图标/特征搜索(Fofa、Zoomeye)
- 4.6 SSL/TLS证书查询
- 4.7 邮箱获取真实IP
- 4.8 网站敏感文件(phpinfo等)
- 4.9 F5 LTM解码法
- 4.10 APP/小程序抓包
- 4.11 配置不当绕过
- 4.12 Banner匹配与全网扫描
- 4.13 长期监控与流量攻击
- 4.14 被动获取(SSRF/XSS)
- 端口扫描与服务识别
- 5.1 常见端口与服务
- 5.2 端口扫描工具(Nmap、Masscan、御剑)
- 5.3 在线端口检测
- 旁站与C段探测
- 6.1 旁站查询
- 6.2 C段扫描
- 网络空间搜索引擎
- 7.1 Fofa
- 7.2 Shodan
- 7.3 Zoomeye
- 7.4 360测绘(Quake)
- 7.5 Censys
- 敏感目录与文件扫描
- 8.1 常见敏感文件列表
- 8.2 目录扫描工具
- 网站指纹与CMS识别
- 9.1 在线指纹识别
- 9.2 工具与浏览器插件
- 敏感信息收集(GitHub、网盘、社工库)
- 10.1 GitHub搜索语法
- 10.2 网盘搜索
- 10.3 社工库与注册信息
- 移动端资产收集
- 11.1 微信/支付宝小程序
- 11.2 APP收集
- 社交信息与社工
- JS敏感信息与接口发现
- 防护软件识别
- 自动化资产收集工具
- 信息收集总结与建议
1. 信息收集概述
渗透的本质是信息收集,也叫资产收集。信息收集是渗透测试前期最重要的工作,收集足够多的信息才能发现更多攻击面。
信息收集的分类:
- 服务器相关信息(真实IP、系统类型、版本、开放端口、WAF等)
- 网站指纹(CMS、CDN、证书、DNS记录)
- Whois信息(姓名、备案、邮箱、电话反查)
- 子域名、旁站、C段
- Google hacking、文件搜索
- 目录结构、后台、敏感文件
- 传输协议、通用漏洞、GitHub源码
2. 域名信息收集
2.1 Whois查询
域名注册时填写的个人/企业信息(如未隐藏)可查询,包括注册人、邮箱、电话、注册商、DNS服务器等。可反查注册人/邮箱获取更多域名。
常用在线Whois查询:
- 站长之家:http://whois.chinaz.com
- 爱站:https://whois.aizhan.com
- 腾讯云:https://whois.cloud.tencent.com
- 国外:https://who.is
- Kali自带:
whois domain.com
2.2 网站备案查询
备案信息包含单位名称、备案编号、负责人、电话、邮箱等。
推荐平台:
- 天眼查:https://www.tianyancha.com
- ICP备案查询网:http://www.beianbeian.com
- 爱站备案:https://icp.aizhan.com
3. 子域名收集
3.1 子域名的作用与类型
- 子域名扩大测试范围,常见资产:办公系统、邮箱、论坛、商城、管理后台。
- 域名类型:
- A记录:域名→IP
- CNAME:别名记录,指向另一个域名
- MX:邮件交换记录
- NS:域名服务器记录
- TXT:文本说明(常用于SPF反垃圾邮件)
3.2 在线子域名查询
- https://phpinfo.me/domain/
- https://www.t1h2ua.cn/tools/
- https://dnsdumpster.com/
- https://site.ip138.com/(IP138)
- https://hackertarget.com/find-dns-host-records/
- https://securitytrails.com/
3.3 工具爆破子域名
| 工具 | 说明 | 命令示例 |
|---|---|---|
| Layer子域名挖掘机 | GUI界面,字典爆破 | 直接运行 |
| SubDomainBrute | Python,支持超大字典 | subDomainsBrute.py target.com |
| Sublist3r | 搜索引擎+暴力枚举 | sublist3r -d target.com -b |
| OneForAll | 功能全面,支持多种收集方式 | python3 oneforall.py --target target.com run |
| Wydomain | 多线程爆破 | wydomain.py -d target.com |
| FuzzDomain | 模糊测试 | 配置字典 |
3.4 证书透明日志收集
SSL/TLS证书公开日志中常包含域名、子域名信息。
3.5 隐藏域名Hosts碰撞
原理:某些服务器禁止IP直接访问,但绑定正确Host头后能正常访问。收集目标IP段和域名列表,组合发送请求,比对响应标题/长度,发现未公开的资产。
工具:自定义脚本或使用hosts碰撞项目。
4. 查找网站真实IP(CDN绕过)
4.1 判断是否使用CDN
- 多地Ping:使用 http://ping.chinaz.com 或 https://www.17ce.com ,若不同地区返回不同IP,则使用了CDN。
4.2 历史DNS解析记录
查询域名历史解析IP,早期的记录可能为真实IP。
- https://dnsdb.io
- https://x.threatbook.cn(微步在线)
- https://tools.ipip.net/cdn.php
- https://viewdns.info
- https://site.ip138.com
4.3 子域名解析IP
若子域名未使用CDN,其解析IP可能与主站同服务器或同C段。先收集子域名,再批量解析IP。
4.4 国外DNS解析
部分CDN只对国内加速,国外访问可能直接得到真实IP。使用国外DNS解析工具(如dnsdumpster、dnshistory)。
4.5 图标/特征搜索(Fofa、Zoomeye)
- 下载网站favicon.ico,计算其hash,在Fofa/Zoomeye搜索该hash,可定位使用相同图标的服务器。
- Fofa语法:
icon_hash="..."或body="特征字符串"
4.6 SSL/TLS证书查询
- 在crt.sh上查找目标域名的证书Hash(SHA1)。
- 在Censys搜索该Hash,可列出所有使用相同证书的IP。
- Censys语法:
443.https.tls.certificate.parsed.fingerprint_sha256: "..."
4.7 邮箱获取真实IP
网站发送的邮件(如注册确认、密码找回)的邮件头中可能包含真实服务器IP(Received from字段)。
4.8 网站敏感文件(phpinfo等)
- phpinfo页面中的
SERVER_ADDR或_SERVER["SERVER_ADDR"]会显示真实IP。 - 其他探针文件、源代码泄露、GitHub泄露等也可能包含服务器IP。
4.9 F5 LTM解码法
若响应头有 Set-Cookie: BIGipServerXXX=数字.数字.0000,将第一段数字(如 487098378)转十六进制,按从右至左每两位取一组转十进制,即为真实IP(如 10.136.8.29)。
4.10 APP/小程序抓包
使用BurpSuite或Fiddler抓取APP或小程序请求,请求中可能直接包含真实服务器IP。
4.11 配置不当绕过
- 若CDN只配置了
www.test.com,而test.com未配置,访问test.com可绕过。 - 若CDN只配置了HTTPS,访问HTTP版本可绕过。
4.12 Banner匹配与全网扫描
- 使用Zmap/Masscan扫描全网或目标IP段,获取HTTP banner,与目标站点的banner对比,匹配相同特征的IP。
- 示例:
masscan -p 80,443 192.168.0.0/24 --rate=10000,然后对比响应头、title等。
4.13 长期监控与流量攻击
- 长期监控域名解析变化,可能某些时段CDN切换或回源。
- 流量攻击(DDoS)导致CDN防御失效或回源,可能暴露真实IP(仅限合法授权测试)。
4.14 被动获取(SSRF/XSS)
- 若站点存在SSRF漏洞,可让服务器向我们的监听服务器发起请求,获取真实IP。
- XSS同样可获取客户端IP,但更常用于获取用户浏览器信息。
5. 端口扫描与服务识别
5.1 常见端口与服务
| 端口 | 服务 |
|---|---|
| 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80/443/8080 | HTTP/HTTPS |
| 135/139/445 | SMB |
| 1433 | MSSQL |
| 1521 | Oracle |
| 3306 | MySQL |
| 3389 | RDP |
| 5432 | PostgreSQL |
| 6379 | Redis |
| 27017 | MongoDB |
| 9200 | Elasticsearch |
| 11211 | Memcached |
| 873 | Rsync |
| 7001/7002 | WebLogic |
| 50050 | CobaltStrike TeamServer |
5.2 端口扫描工具
- Nmap(全能):
nmap -sV -p- 192.168.1.1 # 版本探测 nmap -sT -sU -p 1-65535 192.168.1.1 nmap -iL ip.txt # 批量 - Masscan(极速):
masscan -p 1-65535 --rate=1000 192.168.1.0/24 - 御剑端口扫描器:GUI,支持自定义端口列表。
- Zmap:全网级扫描。
5.3 在线端口检测
6. 旁站与C段探测
6.1 旁站查询
- 站长之家同IP查询:http://stool.chinaz.com/same
- https://chapangzhan.com/
- 使用Fofa/Shodan:
ip="x.x.x.x"
6.2 C段扫描
- 在线:https://c.webscan.cc
- 工具:Nmap/Masscan扫描整个C段(如
192.168.1.0/24) - 脚本:可使用Python调用webscan.cc API批量查询。
7. 网络空间搜索引擎
| 引擎 | 网址 | 常用语法 |
|---|---|---|
| Fofa | https://fofa.so | domain="target.com", ip="x.x.x.0/24", title="关键词", body="特征" |
| Shodan | https://shodan.io | hostname:target.com, net:x.x.x.0/24 |
| Zoomeye | https://zoomeye.org | site:target.com, service:http |
| Quake(360) | https://quake.360.cn | domain:"target.com" |
| Censys | https://censys.io | 证书查询、IP查询 |
8. 敏感目录与文件扫描
8.1 常见敏感文件列表
robots.txtcrossdomain.xmlsitemap.xml- 后台目录(如
/admin,/manage) - 安装包(
.rar,.zip,.7z,.tar.gz) - 网站备份(
.bak,.swp,~) - 上传目录(
/uploads,/files) - PHP探针(
phpinfo.php,t.php) .git,.svn版本控制泄露- WEB-INF/web.xml(Java)
.DS_Store(Mac)
8.2 目录扫描工具
- 御剑(GUI)
- 7kbstorm(GUI)
- Dirsearch:
python3 dirsearch.py -u https://target.com -e * - Gobuster:
gobuster dir -u https://target.com -w wordlist.txt -x php,html - Dirmap:
python3 dirmap.py -i https://target.com -lcf - BBScan:批量扫描
9. 网站指纹与CMS识别
9.1 在线指纹识别
9.2 工具与浏览器插件
- Wappalyzer(Firefox/Chrome插件)
- 御剑CMS识别
- WhatCMS
10. 敏感信息收集(GitHub、网盘、社工库)
10.1 GitHub搜索语法
site:Github.com smtp password
site:Github.com root password
site:Github.com "User ID" "Password"
site:Github.com inurl:sql
site:Github.com svn password
site:Github.com 密码
site:Github.com 内部
可使用关键词监控工具(如Hawkeye、x-patrol)。
10.2 网盘搜索
10.3 社工库与注册信息
- 社工库(Telegram机器人、本地库)
- 网站注册查询:http://www.reg007.com(查看用户注册过哪些网站)
11. 移动端资产收集
11.1 微信/支付宝小程序
- 搜狗微信搜索:https://weixin.sogou.com
- 关注企业公众号,查看关联小程序
11.2 APP收集
- 七麦数据:https://www.qimai.cn(按开发者/关键词搜索APP)
12. 社交信息与社工
- 领英(LinkedIn):查找公司员工、职位
- 脉脉、Boss直聘:招聘信息可能泄露内部系统
- QQ/微信群:混入内部群,观察聊天获取敏感信息
- 客服/销售:假装客户获取测试账号、系统信息
13. JS敏感信息与接口发现
现代Web应用将大量API和参数打包在JS文件中,可通过工具提取。
- JSFinder:
python3 JSFinder.py -u https://target.com -d - SecretFinder:
python3 SecretFinder.py -i https://target.com -e - Packer-Fuzzer:自动提取API并检测未授权、SQL注入等漏洞。
14. 防护软件识别
识别目标是否使用WAF(云WAF、硬件WAF、主机防护如安全狗、D盾)。
- 可通过输入测试语句(如
')观察返回页面特征。 - 使用工具如 wafw00f。
15. 自动化资产收集工具
- ARL(资产侦察灯塔系统):https://github.com/TophantTechnology/ARL
- AssetsHunter:https://github.com/rabbitmask/AssetsHunter
- domain_hunter_pro:https://github.com/bit4woo/domain_hunter_pro
- LangSrcCurise:https://github.com/shellsec/LangSrcCurise
- Reaper:https://github.com/sp4rkw/Reaper
16. 信息收集总结与建议
- 先外后内:先收集公开信息(Whois、子域名、备案),再深入扫描端口、目录。
- 多源交叉:结合多种工具和平台,避免遗漏。
- 注重细节:JS文件、robots.txt、错误页面都可能隐藏有用信息。
- CDN绕过:优先尝试历史解析、子域名、证书查询等低成本方法。
- 持续监控:资产会变化,定期重新收集。
- 合法合规:所有信息收集应在授权范围内进行。
注意本笔记是源于暗月安全培训 https://edu.moonsec.com 的ai整合版

浙公网安备 33010602011771号