🔍 网络安全测试 · 信息收集(一)
核心理念:信息收集不是一步到位的清单罗列,而是贯穿渗透测试全过程的动态循环。每获得一个新线索(一个接口、一个报错、一个邮箱),都意味着下一轮收集的开始。收集到的任何信息,只要能让你推进下一步渗透,就算完成了一次阶段性的信息收集。
1. 企业背景与 ICP 备案
1.1 企业信息查询(授权前提下)
优先从工商信息平台入手,摸清目标企业股权结构、关联公司、名下资产,为后续扩大攻击面打下基础。
| 平台 | 功能 | 链接 |
|---|---|---|
| 天眼查 | 企业背景、司法风险、对外投资 | https://www.tianyancha.com |
| 企查查 | 企业查询、实际控制人、关联图谱 | https://www.qichacha.com |
| 爱企查 | 百度旗下,免费基础查询 | https://aiqicha.baidu.com |
| 小蓝本 | 营销拓客系统(侧重企业大数据) | https://www.xiaolanben.com |
重点关注:
企业名下的域名、子公司、分支机构
邮件服务器地址(常用作后续爆破目标)
微信小程序、APP、公众号——这类资产往往防护较弱,易成为突破口
1.2 ICP 备案查询
查询域名背后的主办单位及备案号,常用于资产归属确认。
工信部官方(最权威):https://beian.miit.gov.cn
站长工具:https://icp.chinaz.com
第三方备案查询:http://www.beianx.cn (非官方,可作为辅助)
2. 搜索引擎高级用法(Google Hacking)
利用搜索引擎抓取敏感文件、后台入口、错误信息。以下语法基于 Google/Bing,百度部分支持。
| 语法 | 功能说明 | 举例 |
|---|---|---|
site: | 限定网站 | site:example.com |
intitle: | 标题包含关键词 | intitle:"index of" |
inurl: | URL 中包含关键词 | inurl:admin |
intext: | 正文包含关键词 | intext:"password" |
filetype: | 搜索特定文件类型 | filetype:sql或filetype:bak |
cache: | 查看缓存快照(可能失效) | cache:example.com |
related: | 查找类似网站 | related:example.com |
*通配符 | 代替任意词 | "login * portal" |
-排除 | 排除包含某词的结果 | site:example.com -www |
OR/| | 逻辑或 | "admin" OR "login" |
" "引号 | 精确匹配短语 | "Powered by WordPress" |
..数字范围 | 搜索数字区间 | "port 3306..3389" |
实用组合示例:
site:example.com inurl:upload查找上传入口site:example.com filetype:pdf "confidential"寻找泄漏的机密 PDFintitle:"index of" "parent directory"发现目录浏览漏洞
3. 子域名收集(扩大攻击面)
主站防御通常坚固,子域、边缘系统往往更薄弱。不论能否直接访问,先收录下来。
3.1 网络空间搜索引擎
| 工具 | 地址 |
|---|---|
| FOFA | https://fofa.info |
| 鹰图 (奇安信) | https://hunter.qianxin.com |
| 360 Quake | https://quake.360.net |
3.2 在线子域名查询
| 工具 | 地址 |
|---|---|
| 站长工具 | 子域名查询_子域名大全 - 站长工具 |
| IP138 | IP属地 IP属地查询 IP归属地查询 IP地址归属地查询 |
| DNSdumpster | https://dnsdumpster.com |
3.3 主动枚举工具(推荐)
OneForAll:国产子域名收集神器
Subfinder:轻量快速被动枚举
Amass:OWASP 项目,深度枚举
证书透明度 (CT):https://crt.sh 可查询 TLS 证书中包含的域名
提示:收集到的子域名可进一步进行存活探测、端口扫描和指纹识别。
4. IP 反查域名 & 旁站发现
4.1 IP 反查域名
当你只知道一个 IP,需要找出它上面绑定了哪些域名。
爱站 DNS:https://dns.aizhan.com
站长工具:https://ip.chinaz.com
FOFA语法:
ip="x.x.x.x"Shodan:https://www.shodan.io
4.2 旁站(同 IP 站点)
旁站是指在同一台服务器(同一个 IP)上绑定的其他域名。当你拿下一个站点后,通过旁站攻击可以横向获取同服务器的其他网站权限。
上述所有 IP 反查工具均可直接用于旁站收集。
也可以通过FOFA搜索:
ip="目标IP",查看该 IP 上的所有 Web 资产。
旁站 ≠ 目录扫描。
旁站:同 IP 不同域名(通过 IP 反查实现)
不同端口服务:同一 IP 的不同端口,可用
nmap扫描目录/路径扫描:使用御剑、dirsearch、gobuster 等工具爆破 Web 路径 三者属于不同维度的信息收集,需要分别对待。
5. C 段扫描(邻近资产发现)
同一 C 段(/24)中可能跑着数据库服务器、内部管理系统、测试机等防护薄弱的“沉默资产”。
常用工具
Nmap扫描示例:
nmap -sn 192.168.1.0/24(主机发现)nmap -sV -p 1-65535 192.168.1.100-200(服务版本探测)Masscan:大规模快速端口扫描
FOFA语法:
ip="111.180.139.0/24"Shodan搜索:
net:111.180.139.0/24
扫描后分析
若发现开放
3306(MySQL)、6379(Redis)、27017(MongoDB)等数据库端口,立刻进行弱口令或未授权访问测试。发现
22(SSH)、3389(RDP)可尝试凭证爆破。
6. Whois 信息查询
获取域名的注册者邮箱、联系电话、注册商、DNS 服务器等信息,可用于社会工程学或反向查找该注册者拥有的其他域名。
站长工具:https://whois.chinaz.com
爱站 Whois:https://whois.aizhan.com
命令行:
whois example.comICANN Lookup:https://lookup.icann.org
关键利用点:
注册邮箱反查 → 发现该邮箱注册的所有域名(使用反向 Whois 服务)
联系电话/地址 → 组合生成密码字典
私有 Whois 保护?尝试查看历史 Whois 记录(如 whoxy.com)
7. 信息收集永不停止
真正有效的渗透测试,信息收集会贯穿全过程。以下是在获得初始访问或部分信息后,需要持续收集的方向:
| 阶段 | 收集内容 | 方法 / 工具 |
|---|---|---|
| 子域名初步 | 指纹识别 | Wappalyzer、WhatWeb、BuiltWith |
| 端口扫描后 | 服务、中间件、数据库版本 | Nmap-sV脚本,amap |
| Web 浏览时 | 隐藏目录、备份文件 | dirsearch、gobuster、御剑 |
| 抓包/JS 分析 | API 端点、子域、内部 IP | 浏览器 DevTools,JSFinder,LinkFinder |
| 报错/响应头 | 真实路径、软件版本、服务器内网 IP | 手动分析 |
| GitHub/网盘 | 源码泄漏、配置文件、硬编码密码 | GitHub 搜索:org:公司名 password,网盘搜引擎 |
持续渗透,持续收集,直到达成目标或测试终止。