Web 渗透测试:企业信息收集
- 前言
- 一、信息收集概述
- 1.1 什么是信息收集
- 1.2 信息收集的分类
- 1.2.1 被动信息收集
- 1.2.2 主动信息收集
- 1.3 信息收集在渗透测试中的地位
- 二、信息收集主要方法
- 2.1 主域名信息收集
- 2.1.1 WHOIS 查询
- 2.1.2 域名注册信息分析・实操指南
- (1)爱站网同主体域名反查
- (2)ICP 备案信息查询
- (3)天眼查・域名信息补充拓线实操
- (4)DNS 服务器验证
- 2.2 子域名收集
- 2.2.1 搜索引擎语法枚举
- 2.2.2 证书透明度(CT Log)查询
- 2.2.3 空间测绘平台子域名收集
- 2.2.4 子域名爆破(主动探测,严格合规限制)
- 2.3 小程序与APP收集
- 合规注意
前言
信息收集是渗透测试的第一步,也是最容易被新手忽略的一步。
很多人拿到目标直接开扫描器,扫不到东西就觉得没漏洞 —— 但真实情况往往是:你连目标有多少个子域名、用了什么技术栈、开了哪些端口都没搞清楚。
这篇文章系统梳理 Web 渗透信息收集的完整流程:被动收集 + 主动探测,从域名、子域名、端口、指纹到目录爆破,附工具和实战思路。
- 本文仅用于网络安全技术研究、教学交流与授权渗透测试学习参考,不得用于任何非法用途。
- 所有涉及主动扫描、漏洞探测、信息利用的操作,必须取得目标方书面授权。未经授权对任何公网系统进行测试,均属违法行为。
- 读者因使用本文内容造成的任何直接或间接后果,由读者自行承担全部法律责任,作者不承担任何责任。
- 请严格遵守《中华人民共和国网络安全法》《中华人民共和国刑法》第 285 条、第 286 条等相关法律法规。
一、信息收集概述
1.1 什么是信息收集
信息收集(Information Gathering / Reconnaissance)是渗透测试流程的首个阶段,指通过公开渠道或技术探测手段,获取目标系统、组织及人员的相关情报,用于扩大攻击面、定位漏洞入口。
核心目标:最大化攻击面,为后续漏洞探测与利用提供精准方向。
1.2 信息收集的分类
按是否与目标直接交互,分为两类:
1.2.1 被动信息收集
不向目标系统发送任何数据包,仅通过第三方公开资源获取信息。
- 特点:无交互、无痕迹、隐蔽性强、法律风险低
- 常见手段:WHOIS 查询、搜索引擎语法(Google Dorks)、子域名枚举(CT Log / 第三方平台)、网络空间测绘(Shodan / FOFA)、GitHub 泄露挖掘、社交平台情报收集
1.2.2 主动信息收集
直接向目标系统发送探测数据包,获取目标真实状态信息。
- 特点:信息精准、实时性强,但会留下访问痕迹,存在被 WAF / IDS 检测的风险
- 常见手段:端口扫描(Nmap / Masscan)、Web 指纹识别、目录爆破、漏洞扫描与 PoC 验证、存活主机探测
1.3 信息收集在渗透测试中的地位
信息收集是标准渗透测试流程的第一步,直接决定后续测试的广度与深度。
标准流程:
信息收集 → 漏洞探测 → 漏洞利用 → 权限提升 → 权限维持 → 痕迹清理核心价值:
- 决定攻击面大小:子域名、端口、服务发现得越多,可利用入口越多
- 决定攻击精准度:明确目标技术栈后,才能匹配对应漏洞 Payload,避免盲目测试
- 决定测试成功率:大量突破口(泄露的后台、旧版本框架、测试页面等)仅能通过信息收集发现
新手误区:跳过信息收集直接使用扫描器,导致大量攻击面遗漏,测试效率极低。
二、信息收集主要方法
2.1 主域名信息收集
域名介绍
- 本质作用:将难记的IP地址(如192.168.1.1)转换为易读文字(如baidu.com)
- DNS机制:通过DNS协议将域名自动翻译为对应IP地址
(如www.baidu.com→180.101.49.12)
实例说明:
www.baidu.com:百度官网 tieba.baidu.com:百度贴吧2.1.1 WHOIS 查询
WHOIS 是用于查询域名注册信息的协议,可获取域名所有者、注册商、注册邮箱、DNS 服务器等数据。
查询内容:
- 注册人 / 注册组织
- 注册邮箱、联系电话
- 注册商、注册时间、过期时间
- DNS 服务器(Name Server)
- 域名状态
实操工具:
1. 命令行查询(Kali 自带)
whois baidu.com关键信息提取:
表格
| 字段 | 值 | 渗透价值 |
|---|---|---|
| 注册组织 | 北京百度网讯科技有限公司 | 确认权属主体,可反查同主体名下其他域名 |
| 注册商 | MarkMonitor | 国际品牌保护注册商,说明域名管理很规范 |
| DNS 服务器 | ns1~ns4.baidu.com、ns7.baidu.com | 自建 DNS 集群,同 NS 下可能存在大量内部子域名 |
| 注册时间 | 1999-10-11 | 老域名,历史资产多,废弃子域名、旧系统是突破口 |
| 域名状态 | 6 项 Prohibited 全锁定 | client + server 双重锁定,域名劫持风险极低 |
| 注册邮箱 | 隐藏(需表单联系) | 开启了隐私保护,无法直接获取运维邮箱 |
实战结论:
- 百度域名管理非常规范,WHOIS 层面挖不到直接的邮箱、电话等社工线索
- 重点转向:同主体反查其他域名 + 自建 DNS 下的子域名枚举
- 域名状态全锁定,不用考虑域名劫持、过期赎回这类攻击面
2. 在线查询平台
- ICANN WHOIS(https://lookup.icann.org/)
- Whois.com(https://www.whois.com/)
- 站长工具 WHOIS(https://whois.chinaz.com/)
示例输出关键字段:
Registrar: ……(注册商) Creation Date: ……(注册时间) Expiry Date: ……(过期时间) Name Server: ns1.example.com(DNS 服务器) Registrant Email: admin@example.com(注册邮箱)2.1.2 域名注册信息分析・实操指南
(1)爱站网同主体域名反查
- 打开爱站网 WHOIS 反查:https://whois.aizhan.com/reverse/
- 选择「域名」选项卡
- 输入:
baidu.com - 点击查询
- 域名持有人 / 机构名称:北京百度网讯科技有限公司
实操操作:点击右侧绿色【反查注册人】按钮,进入同主体域名反查页面,批量获取该企业名下全部域名,快速扩大资产范围。
价值:锁定目标企业主体,拓线旗下云、子业务、测试域名。 - 持有人邮箱:无(横线占位)
说明百度完整开启 WHOIS 隐私保护,线上平台、命令行 whois 均无法获取运维 / 业务邮箱,社工类线索从本条渠道断绝。 - 创建 1999-10-11 / 过期 2028-10-11
域名运营周期极长,历史解析记录、废弃子域名、遗留旧系统存量大,是情报挖掘重点;距离过期年限久,不存在域名过期管理疏漏风险。 - DNS 服务器:ns1~ns4、ns7.baidu.com(附带公网 IP)
判定为企业自建 DNS 集群,非阿里云 / Cloudflare 第三方托管;可后续执行dig @ns1.baidu.com baidu.com AXFR测试域传送漏洞,大厂大概率拦截,但属于标准化侦察步骤。 - 域名状态 6 条全保护锁定
运营商 + 域名服务器双重开启删除、转移、更新保护,完全杜绝域名劫持、域名过户类攻击面,域名底层防护完善。 - 注册商 MarkMonitor
国际企业品牌防护专用注册商,专门用于大厂域名安全管控,侧面说明目标域名安全管理等级高。
点击此处
这是注册人反向 WHOIS 查询,核心功能:输入企业注册主体名称,批量拉出该公司名下所有注册域名,完成资产拓线,属于被动信息收集核心手段。
- 域名列
批量展示百度全部名下域名:dwz.cn(短链接服务)、shifen.com(百度搜索跳转)、openrasp.cn(百度开源安全项目)、baidu-img.cn(图片存储)等。
渗透价值:一次性拓展大量未被注意的边缘业务域名,边缘站点往往安全防护弱,更容易找到漏洞。 - 注册人列
全部统一为「北京百度网讯科技有限公司」,用来校验资产归属,过滤无关域名。 - 邮箱列(重点情报点)
出现多条百度内部业务邮箱:
domainmaster@baidu.com(域名运维专用邮箱,核心社工线索)eric@baidu.com(员工业务邮箱)
实战价值:
① 收集企业内部邮箱列表,用于社工钓鱼、密码爆破、泄露库检索;
② 用收集到的邮箱再做邮箱反查域名,进一步挖掘更多隐藏资产。
- BR/PR 权重字段
辅助判断域名业务规模,比如baidu.comPR=9,是核心主站;权重 0 的多为内部测试、小众业务站,侦察优先级更高。
(2)ICP 备案信息查询
- 打开工信部官方备案平台:https://beian.miit.gov.cn/
- 顶部切换标签至「ICP 备案查询」
- 输入框填写目标域名
baidu.com,勾选「网站」选项,点击蓝色搜索按钮
输入框填入主体备案许可证号:京ICP证030173号,勾选「网站」,点击搜索
- 主办单位名称统一为北京百度网讯科技有限公司
交叉确认所有条目归属同一企业主体,无无关第三方域名,资产范围可信。 - 多条服务备案号(京 ICP 证 030173 号 - 1、-2、-28、-106…… 共 306 条)
每一条后缀编号对应一套独立网站 / 业务域名,代表百度主体备案了 306 个线上业务站点,可逐条点开详情收集全部一级域名、业务子站。
两种查询方式对比总结
| 查询输入内容 | 返回结果 | 核心用途 |
|---|---|---|
| 域名 baidu.com | 单条域名备案详情 | 核验单个域名归属、备案主体 |
| 许可证号 京 ICP 证 030173 号 | 企业全部 306 条备案列表 | 批量收集企业旗下所有备案域名,完整拓线资产 |
当第三方站长工具屏蔽大厂域名、WHOIS 开启隐私保护无法获取完整企业信息时,可使用工信部官方 ICP 备案系统查询。备案数据由国家工信部统一存档,不受平台屏蔽、域名隐私规则限制,可精准核验企业实名主体,同时批量导出该企业备案的全部网站域名,是被动资产拓线的核心补充手段。全程仅读取公开备案档案,属于合规被动信息收集。
(3)天眼查・域名信息补充拓线实操
- 打开天眼查官网:https://www.tianyancha.com/
- 搜索框粘贴主体名称:
baidu.com - 点击搜索进入企业详情页
工信部 ICP 备案仅能获取网站备案域名主体,天眼查依托工商公示数据,可深度挖掘企业全维度关联线索,是绕过 WHOIS 隐私保护的补充侦察手段。
输入备案获取的企业全称后,可提取企业座机、注册地址、子公司清单、知识产权、招投标信息等公开工商档案;通过旗下 364 家关联企业循环拓线,能大幅扩大目标资产范围,同时收集大量社工可用的人员、联系方式线索。
该操作仅读取国家公示工商数据,全程无数据包发送至目标业务服务器,属于合规被动信息收集。
(4)DNS 服务器验证
DNS 域传送(AXFR)是 DNS 协议的同步机制:一台备用 DNS 服务器从主 DNS 服务器同步全部子域名解析记录。
如果管理员配置不当,允许任意外部机器执行 AXFR 查询,攻击者一次就能拿到该域名下所有子域名,大幅扩大资产范围,属于高危信息泄露漏洞。
你截图里百度的 DNS:ns1.baidu.com ~ ns7.baidu.com,就是用来做这个测试的目标。
# 验证 DNS 服务器是否支持域传送(AXFR) dig @ns1.baidu.com baidu.com AXFR预期结果:百度会拒绝域传送请求,返回Transfer failed.或空结果
博客文字说明:
对于自建 DNS 的目标,可以测试 DNS 域传送漏洞(AXFR)。如果漏洞存在,能一次性获取目标所有子域名记录。但像百度这类大厂通常都已修复,仅作为标准化检查项。
| 序号 | 配图内容 | 对应实操小节 | 用途说明 |
|---|---|---|---|
| 1 | 爱站网 WHOIS 注册人反向查询完整结果截图(含百度旗下域名列表) | (1) 爱站网同主体域名反查 | 通过企业主体批量拓线同公司全部域名资产 |
| 2 | 工信部 ICP 备案系统baidu.com查询详情页截图 | (2) ICP 备案信息查询 | WHOIS 开启隐私保护时,核验企业实名、批量导出备案网站 |
| 3 | 天眼查百度工商主页 + 股权结构全景图两张 | (3) 天眼查・域名信息补充拓线实操 | 获取法人、子公司、股权架构,拓展集团全量关联资产与社工线索 |
| 4 | Kali 终端dig @ns1.baidu.com baidu.com AXFR执行返回结果截图 | (4) DNS 服务器验证 | 演示 DNS 域传送漏洞检测,判断是否可一次性抓取全部子域名 |
2.2 子域名收集
子域名指xxx.baidu.com这类依附于一级主域名的分支站点,通常包含后台管理、测试环境、内部业务、边缘服务,防护强度普遍低于主站,是漏洞挖掘的高频突破口。
本节全部手段分为被动收集(合规无主动发包)和主动爆破(需厂商授权才可操作)。
2.2.1 搜索引擎语法枚举
各大搜索引擎会收录公开访问的页面,利用专用搜索语法批量提取页面中暴露的二级、多级子域名,全程纯被动查询,无法律风险。
通用查询语法(以 baidu.com 为例)
site:baidu.com
作用:检索所有归属 baidu.com 的网页,从中提取子域名inurl:baidu.com
作用:抓取 URL 内包含目标域名的页面,挖掘冷门小众子域名
2.2.2 证书透明度(CT Log)查询
原理
网站 SSL 证书强制同步至全球公开 CT 日志库,日志完整记录该域名下所有申请过证书的子域名,可搜到搜索引擎遗漏的测试域名、后台管理域名,收集优先级最高。
常用工具
| 分类 | 工具名称 | 网址 | 特点 |
|---|---|---|---|
| 海外工具 | crt.sh | https://crt.sh/ | 海外免费,全球 CT 日志汇总,子域名覆盖最全 |
| 国内平台 | 微步在线 SSL 测绘 | https://x.threatbook.cn/ | 集成 CT 证书数据+全网资产关联,同步展示证书、IP、端口、网站指纹,一站式收集 |
| 国内平台 | SM2 国密证书透明平台 | https://www.sm2ct.cn/ | 专门收录国内国密 SM2 算法 SSL 证书,补充普通 CT 工具抓取不到的国企、政务、高校国密站点子域名 |
在微步在线输入baidu.com进行搜索
查看数字证书
- 提取子域名核心字段:授权域名
每一条证书下方都有「授权域名」,比如第一条:*.haiwaiminsukezhan.com、*.qnydns.com 等98个域名
这些带*的泛域名、二级域名,就是 CT 日志收录的资产,全部收集出来就是目标的隐藏子域名。 - 页面显示「证书不可信」不用管
这个提示只是证书签发机构、域名主体和baidu.com不匹配,只是百度相关 IP 上挂载的第三方证书,不影响提取域名,全部授权域名都可以记录下来,最后人工筛选真正属于baidu.com的资产即可。
实战价值
- 国内平台无需翻墙,访问稳定,专门适配国内备案域名、国密证书;
- 可抓取测绘平台、搜索引擎遗漏的测试域名、后台域名,补充大量隐藏资产;
- 锐成、微步可直接关联IP资产,省去多平台切换查询。
补充对比
crt.sh:全球数据量最大,但境外网络访问慢、经常加载超时;
国内CT工具:国内站点收录完整,访问稳定,但海外企业域名覆盖弱,两者搭配使用效果最佳。
配图说明
使用锐成CT日志查询页面截图,放置在本段下方。
2.2.3 空间测绘平台子域名收集
原理
空间测绘引擎会持续全网扫描公网资产,沉淀海量域名、IP、端口、Web指纹数据,输入根域名即可一键导出所有存活子域名、对应IP、开放端口、中间件、SSL证书等全维度资产,是实战中效率最高的被动收集方式。
主流空间测绘工具
FOFA(https://fofa.info/):国内老牌测绘平台,语法灵活,支持自定义资产筛选,子域名、端口、指纹数据完善,渗透侦察最常用
打开FOFA官网,登录账号;
搜索框输入语法
domain="baidu.com",执行查询;页面批量展示所有存活二级/多级子域名,同步附带解析IP、开放端口、Nginx/Apache中间件、网站标题、SSL证书指纹;
勾选所需资产,一键导出子域名、IP清单,区分正常业务站点、302跳转站点、离线失效站点。
实战价值
一次性批量获取大量线上可访问子域名,省去手动枚举;
附带IP与端口指纹,直接生成后续扫描目标列表;
支持多条件叠加筛选,可快速过滤测试站、后台管理类高危资产。
2.2.4 子域名爆破(主动探测,严格合规限制)
原理
工具内置高频子名字典(admin、test、api、backend、dev、oa 等),批量发送 DNS 解析请求,判断对应子域名是否存在。
⚠️ 合规红线
- 子域名爆破属于主动发包探测,仅允许在自有靶场、厂商 SRC 公示授权域名下使用;
- 无书面授权对公网域名爆破违反《网络安全法》,存在法律追责风险;
- 百度等大厂存在 DNS 访问限流、封禁策略,不建议私自批量爆破,仅本地学习演示。
完整子域名收集标准流程:
搜索引擎语法枚举 → CT 证书日志查询 → 第三方情报平台被动收集 → 授权环境下子域名爆破
多层手段交叉互补,最大限度覆盖目标全部线上业务资产,为后续端口扫描、漏洞探测提供完整目标清单。
2.3 小程序与APP收集
网站:小蓝本https://sou.xiaolanben.com/
该工具依托企业工商股权关联关系,批量爬取企业名下全部APP、微信小程序、公众号、官网、新媒体账号、商标,是资产测绘阶段核心数据源,用于渗透前期扩大攻击面。
合规注意
仅可用于自身企业授权测试,未获得书面授权,禁止对第三方企业 App、小程序进行抓包、漏洞扫描、渗透测试,违反《网络安全法》。