网络安全测试 · 信息收集(一) 网络安全测试 · 信息收集一核心理念信息收集不是一步到位的清单罗列而是贯穿渗透测试全过程的动态循环。每获得一个新线索一个接口、一个报错、一个邮箱都意味着下一轮收集的开始。收集到的任何信息只要能让你推进下一步渗透就算完成了一次阶段性的信息收集。1. 企业背景与 ICP 备案1.1 企业信息查询授权前提下优先从工商信息平台入手摸清目标企业股权结构、关联公司、名下资产为后续扩大攻击面打下基础。平台功能链接天眼查企业背景、司法风险、对外投资https://www.tianyancha.com企查查企业查询、实际控制人、关联图谱https://www.qichacha.com爱企查百度旗下免费基础查询https://aiqicha.baidu.com小蓝本营销拓客系统侧重企业大数据https://www.xiaolanben.com重点关注企业名下的域名、子公司、分支机构邮件服务器地址常用作后续爆破目标微信小程序、APP、公众号——这类资产往往防护较弱易成为突破口1.2 ICP 备案查询查询域名背后的主办单位及备案号常用于资产归属确认。工信部官方最权威https://beian.miit.gov.cn站长工具https://icp.chinaz.com第三方备案查询http://www.beianx.cn 非官方可作为辅助2. 搜索引擎高级用法Google Hacking利用搜索引擎抓取敏感文件、后台入口、错误信息。以下语法基于 Google/Bing百度部分支持。语法功能说明举例site:限定网站site:example.comintitle:标题包含关键词intitle:index ofinurl:URL 中包含关键词inurl:adminintext:正文包含关键词intext:passwordfiletype:搜索特定文件类型filetype:sql或filetype:bakcache:查看缓存快照可能失效cache:example.comrelated:查找类似网站related:example.com*通配符代替任意词login * portal-排除排除包含某词的结果site:example.com -wwwOR/|逻辑或admin OR login 引号精确匹配短语Powered by WordPress..数字范围搜索数字区间port 3306..3389实用组合示例site:example.com inurl:upload查找上传入口site:example.com filetype:pdf confidential寻找泄漏的机密 PDFintitle:index of parent directory发现目录浏览漏洞3. 子域名收集扩大攻击面主站防御通常坚固子域、边缘系统往往更薄弱。不论能否直接访问先收录下来。3.1 网络空间搜索引擎工具地址FOFAhttps://fofa.info鹰图 (奇安信)https://hunter.qianxin.com360 Quakehttps://quake.360.net3.2 在线子域名查询工具地址站长工具子域名查询_子域名大全 - 站长工具IP138IP属地 IP属地查询 IP归属地查询 IP地址归属地查询DNSdumpsterhttps://dnsdumpster.com3.3 主动枚举工具推荐OneForAll国产子域名收集神器Subfinder轻量快速被动枚举AmassOWASP 项目深度枚举证书透明度 (CT)https://crt.sh 可查询 TLS 证书中包含的域名提示收集到的子域名可进一步进行存活探测、端口扫描和指纹识别。4. IP 反查域名 旁站发现4.1 IP 反查域名当你只知道一个 IP需要找出它上面绑定了哪些域名。爱站 DNShttps://dns.aizhan.com站长工具https://ip.chinaz.comFOFA语法ipx.x.x.xShodanhttps://www.shodan.io4.2 旁站同 IP 站点旁站是指在同一台服务器同一个 IP上绑定的其他域名。当你拿下一个站点后通过旁站攻击可以横向获取同服务器的其他网站权限。上述所有 IP 反查工具均可直接用于旁站收集。也可以通过FOFA搜索ip目标IP查看该 IP 上的所有 Web 资产。旁站 ≠ 目录扫描。旁站同 IP 不同域名通过 IP 反查实现不同端口服务同一 IP 的不同端口可用nmap扫描目录/路径扫描使用御剑、dirsearch、gobuster 等工具爆破 Web 路径 三者属于不同维度的信息收集需要分别对待。5. C 段扫描邻近资产发现同一 C 段/24中可能跑着数据库服务器、内部管理系统、测试机等防护薄弱的“沉默资产”。常用工具Nmap扫描示例nmap -sn 192.168.1.0/24主机发现nmap -sV -p 1-65535 192.168.1.100-200服务版本探测Masscan大规模快速端口扫描FOFA语法ip111.180.139.0/24Shodan搜索net:111.180.139.0/24扫描后分析若发现开放3306MySQL、6379Redis、27017MongoDB等数据库端口立刻进行弱口令或未授权访问测试。发现22SSH、3389RDP可尝试凭证爆破。6. Whois 信息查询获取域名的注册者邮箱、联系电话、注册商、DNS 服务器等信息可用于社会工程学或反向查找该注册者拥有的其他域名。站长工具https://whois.chinaz.com爱站 Whoishttps://whois.aizhan.com命令行whois example.comICANN Lookuphttps://lookup.icann.org关键利用点注册邮箱反查 → 发现该邮箱注册的所有域名使用反向 Whois 服务联系电话/地址 → 组合生成密码字典私有 Whois 保护尝试查看历史 Whois 记录如 whoxy.com7. 信息收集永不停止真正有效的渗透测试信息收集会贯穿全过程。以下是在获得初始访问或部分信息后需要持续收集的方向阶段收集内容方法 / 工具子域名初步指纹识别Wappalyzer、WhatWeb、BuiltWith端口扫描后服务、中间件、数据库版本Nmap-sV脚本amapWeb 浏览时隐藏目录、备份文件dirsearch、gobuster、御剑抓包/JS 分析API 端点、子域、内部 IP浏览器 DevToolsJSFinderLinkFinder报错/响应头真实路径、软件版本、服务器内网 IP手动分析GitHub/网盘源码泄漏、配置文件、硬编码密码GitHub 搜索org:公司名 password网盘搜引擎持续渗透持续收集直到达成目标或测试终止。