渗透测试信息收集方法总结
概述
信息收集是渗透测试的第一步,也是最关键的一步。收集到的信息越全面,后续攻击的成功率越高。信息收集分为被动收集(不直接接触目标)和主动收集(直接与目标交互)两种方式。
一、企业信息收集
1. 企业基本信息
- 工具:企查查、天眼查、爱企查
- 收集内容:
- 公司全称、统一社会信用代码
- 法人信息、股东信息
- 子公司、关联公司
- 备案域名
- 邮箱、电话
2. 备案信息查询
- 工具:ICP备案查询、站长工具
- 用途:获取目标所有备案域名
二、域名信息收集
1. 子域名收集
# 常用工具
OneForAll:python3 oneforall.py --target example.com run
subfinder:subfinder -d example.com
Layer子域名挖掘机
Sublist3r:python sublist3r.py -d example.com
# 在线平台
https://phpinfo.me/domain/
https://www.virustotal.com/
https://crt.sh/(证书透明度查询)2. 域名解析
# 查询A记录、MX记录、CNAME记录
nslookup -type=A example.com
dig example.com A
dig example.com MX三、IP信息收集
1. IP反查域名
- 工具:站长工具IP反查、微步在线
- 用途:查找同服务器其他网站
2. C段扫描
# nmap扫描C段存活主机
nmap -sn 192.168.1.0/24
# masscan快速扫描端口
masscan 192.168.1.0/24 -p 80,443,8080 --rate=10003. CDN识别
# 多地ping检测CDN
https://ping.chinaz.com/
https://www.17ce.com/
# 绕过CDN找真实IP
1. 子域名探测(可能没走CDN)
2. 历史DNS记录查询
3. 邮件服务器IP
4. 国外主机ping四、端口服务收集
1. 端口扫描
# nmap全端口扫描
nmap -sV -sC -p 1-65535 target.com
# 快速扫描常用端口
nmap -sV -top-ports 1000 target.com
# masscan快速扫描
masscan target.com -p 1-65535 --rate=100002. 常见端口及利用
| 端口 | 服务 | 利用方向 |
|---|---|---|
| 21/22 | FTP/SSH | 匿名登录、爆破、隧道转发 |
| 80/443/8080 | Web服务 | Web漏洞攻击 |
| 3306 | MySQL | 爆破、提权 |
| 6379 | Redis | 未授权访问 |
| 7001/7002 | WebLogic | 反序列化、弱口令 |
| 27017 | MongoDB | 未授权访问 |
五、Web指纹识别
1. 框架识别
- 工具:Wappalyzer、WhatWeb、云悉指纹
- 识别内容:
- CMS类型(WordPress、ThinkPHP、Spring Boot)
- 中间件(Tomcat、Nginx、Apache)
- 前端框架(jQuery、Vue、React)
2. 特征收集
- robots.txt
- sitemap.xml
- 404页面特征
- HTTP响应头
六、目录文件收集
1. 目录扫描
# 常用工具
dirsearch:python3 dirsearch.py -u target.com
gobuster:gobuster dir -u target.com -w wordlist.txt
御剑后台扫描
dirmap2. 敏感文件
- /admin、/manager — 管理后台
- /backup、/db — 备份文件
- /.git — Git泄露
- /.svn — SVN泄露
- /robots.txt — 爬虫规则
- /.DS_Store — Mac目录缓存
- /WEB-INF/web.xml — Java配置文件
七、JS文件分析
1. JS信息提取
# 工具
JSFinder:python3 JSFinder.py -u target.com
LinkFinder:python3 linkfinder.py -i target.com -o cli
# 查找内容
API接口
隐藏参数
硬编码密钥、Token
内网地址八、搜索引擎利用
1. Google Hacking
# 常用语法
site:example.com — 限定网站
inurl:admin — URL包含admin
intitle:后台 — 标题包含后台
filetype:pdf — 文件类型
intext:password — 正文包含password
# 组合使用
site:example.com filetype:sql
site:example.com inurl:login
site:example.com intext:数据库2. 网络空间搜索引擎
- FOFA:https://fofa.info/
- ZoomEye:https://www.zoomeye.org/
- Shodan:https://www.shodan.io/
九、自动化工具
1. 灯塔ARL
# 自动化资产收集+漏洞扫描
docker pull tophant/arl
docker-compose up -d2. 资产管理平台
- 灯塔ARL
- LangSrc
- AssetScan
总结
信息收集的完整流程:
- 企业信息 → 确定目标范围
- 域名收集 → 子域名、备案域名
- IP收集 → 真实IP、C段
- 端口扫描 → 开放服务
- 指纹识别 → 框架、中间件
- 目录扫描 → 敏感文件、后台
- JS分析 → API接口、隐藏参数
渗透的本质就是信息收集,收集得越全面,成功的概率越高。