信息收集的艺术：全面渗透测试资产收集指南<\/h1>

前言<\/h2>
信息收集远不只是简单的子域名扫描、目录爆破和端口探测。本文将系统性地介绍信息收集的完整流程和方法，帮助安全研究人员掌握资产发现、扩展和梳理的真正艺术。<\/p>

信息收集流程概述<\/h2>

自动化信息收集阶段<\/strong>：使用工具自动进行初步信息收集<\/li>

资产发现阶段<\/strong>：收集目标主体的大部分资产

组织信息收集<\/li>
主域名收集<\/li>
子域名收集<\/li> <\/ul> <\/li>
资产扩展阶段<\/strong>：进一步收集更多隐蔽资产

端口收集<\/li>
C段收集<\/li> <\/ul> <\/li>
资产梳理阶段<\/strong>：测活+指纹识别<\/li>
自动化扫描阶段<\/strong>：漏洞扫描器测试<\/li>
重点目标针对收集阶段<\/strong>：对关键资产进行深度信息收集<\/li> <\/ol>
[0] 自动化信息收集阶段<\/h2>
在手工信息收集前，建议使用自动化工具快速进行大致的信息收集，与手工收集相互补充。<\/p>
推荐工具<\/strong>：<\/p>

ARL（尤其推荐其文件泄露功能）<\/li>
shuize<\/li>
kunyu<\/li>
nemo_go<\/li>
ScopeSentry<\/li> <\/ul>
[1] 资产发现阶段<\/h2>
组织结构收集<\/h3>
简介<\/strong>：
针对大型目标（集团企业、政党单位、高校等）收集其子公司、股权结构等信息。<\/p>
作用<\/strong>：<\/p>

全面收集所有子公司，扩大攻击面<\/li>
采用自下而上或自上而下的攻击策略<\/li>
发现内网横向移动机会<\/li> <\/ol>
收集方法<\/strong>：<\/p>
股权收集法<\/h4>
使用爱企查查看股权穿透图，记录股权占比>50%的子公司名称，保存为company.txt<\/code><\/p>
关键人物收集法<\/h4> 从法人代表和高管入手，查找其关联公司，与股权收集结果相互补充<\/p> 工具<\/strong>：<\/p> 爱企查：https:\/\/aiqicha.baidu.com\/<\/li> <\/ul> 主域名收集<\/h3> 利用company.txt<\/code>中的公司名收集其主域名。<\/p> 方法<\/strong>：<\/p> ICP备案查询<\/h4> 官网查询接口（适合少量查询）：https:\/\/beian.miit.gov.cn\/<\/li> 第三方程序查询接口（适合批量查询）：https:\/\/www.beianx.cn\/ 使用ICPSearch工具批量爬取：icpsearch -f company.txt<\/code><\/li> 使用正则提取域名：([a-zA-Z0-9-]+\.)+[a-zA-Z]{2,}<\/code><\/li> <\/ul> <\/li> <\/ol> 小蓝本查询<\/h4> https:\/\/sou.xiaolanben.com\/ 知识产权板块获取ICP备案<\/p> 结果<\/strong>：保存主域名为domain.txt<\/code><\/p> 子域名收集<\/h3> 网络测绘引擎（以FOFA为例）<\/h4> domain=<\/span>"主域名"<\/span> ||<\/span> cert=<\/span>"公用名"<\/span> ||<\/span> cert=<\/span>"组织名1"<\/span> ||<\/span> cert=<\/span>"组织名2"<\/span> ||<\/span> cert=<\/span>"组织名3"<\/span> <\/span><\/span><\/code><\/pre>技巧<\/strong>：<\/p> 结合domain和cert查询语法获取更多资产<\/li> 手动查看HTTPS站点证书获取更多组织名<\/li> 批量处理domain.txt<\/code>： # join.py脚本示例<\/span> <\/span><\/span>with<\/span> open('domain.txt'<\/span>, 'r'<\/span>) as<\/span> file: <\/span><\/span> lines =<\/span> [line.<\/span>strip() for<\/span> line in<\/span> file if<\/span> line.<\/span>strip()] <\/span><\/span>result =<\/span> ' || '<\/span>.<\/span>join([f<\/span>'domain="<\/span>{<\/span>line}<\/span>" || cert="<\/span>{<\/span>line}<\/span>"'<\/span> for<\/span> line in<\/span> lines]) <\/span><\/span>print(result) <\/span><\/span><\/code><\/pre><\/li> 开启"all"模式查询历史资产（需会员）<\/li> <\/ol> 格式处理<\/strong>：使用format.py<\/code>脚本分离子域名和URL：<\/p> # 示例处理逻辑<\/span> <\/span><\/span>if<\/span> line.<\/span>startswith('http:\/\/'<\/span>): <\/span><\/span> subdomains.<\/span>append(line[7<\/span>:]) <\/span><\/span> urls.<\/span>append(line) <\/span><\/span>elif<\/span> line.<\/span>startswith('https:\/\/'<\/span>): <\/span><\/span> subdomains.<\/span>append(line[8<\/span>:]) <\/span><\/span> urls.<\/span>append(line) <\/span><\/span>else<\/span>: <\/span><\/span> subdomains.<\/span>append(line) <\/span><\/span> urls.<\/span>append('http:\/\/'<\/span> +<\/span> line) <\/span><\/span> urls.<\/span>append('https:\/\/'<\/span> +<\/span> line) <\/span><\/span><\/code><\/pre>英文证书查询（crt.sh）<\/h4> 精准查询：?q=huawei.com<\/code><\/li> 模糊查询：?o=huawei<\/code><\/li> <\/ul> 使用crt.sh.py<\/code>脚本批量提取公用名：<\/p> # 提取<TR>标签中的公用名<\/span> <\/span><\/span>common_names =<\/span> re.<\/span>findall(r<\/span>'<TD>(.*?\.(?:cn|com|org|net))<\/TD>'<\/span>, html_content) <\/span><\/span><\/code><\/pre>OneForAll<\/h4> 集成了多种子域名收集方式，需配置API密钥发挥最大功效：<\/p> python oneforall.py --target huaweiyun.com run <\/span><\/span>python oneforall.py --targets domain.txt run <\/span><\/span><\/code><\/pre>结果处理<\/strong>：合并subdomain-1\/2\/3.txt<\/code>、url-1\/2\/3.txt<\/code>、ip-1\/2.txt<\/code>，去重后得到：<\/p> subdomain.txt<\/code><\/li> url.txt<\/code><\/li> ip.txt<\/code><\/li> <\/ul> [2] 资产扩展阶段<\/h2> 端口收集<\/h3> 对ip.txt<\/code>进行全端口扫描：<\/p> fscan.exe -hf ip.txt -t 3000<\/span> -p 1-65535 -num 100<\/span> -np -o result.txt <\/span><\/span><\/code><\/pre>使用fscanOutput.py<\/code>整理扫描结果。<\/p> C段收集<\/h3> 使用Eeyes工具整理C段： Eeyes -l subdomain.txt <\/span><\/span><\/code><\/pre><\/li> 手动选择存活IP多的C段保存为c.txt<\/code><\/li> 合并ip.txt<\/code>和c.txt<\/code>为ip_c.txt<\/code><\/li> 全端口扫描： fscan.exe -hf ip_c.txt -t 3000<\/span> -p 1-65535 -num 100<\/span> -np -o result.txt <\/span><\/span><\/code><\/pre><\/li> <\/ol> HOST碰撞<\/h3> 检查无法解析的域名： # domain_auth.py示例<\/span> <\/span><\/span>try<\/span>: <\/span><\/span> ip =<\/span> socket.<\/span>gethostbyname(domain) <\/span><\/span> return<\/span> True<\/span> <\/span><\/span>except<\/span> socket.<\/span>gaierror: <\/span><\/span> return<\/span> False<\/span> <\/span><\/span><\/code><\/pre><\/li> 使用工具进行HOST碰撞： HostCollision：https:\/\/github.com\/pmiaowu\/HostCollision<\/li> Hosts_scan：https:\/\/github.com\/fofapro\/Hosts_scan<\/li> <\/ul> <\/li> <\/ol> [3] 资产梳理阶段<\/h2> 测活+指纹识别<\/h3> 处理IP为URL格式： # ipadd.py示例<\/span> <\/span><\/span>http_ip =<\/span> "http:\/\/"<\/span> +<\/span> ip <\/span><\/span>https_ip =<\/span> "https:\/\/"<\/span> +<\/span> ip <\/span><\/span><\/code><\/pre><\/li> 合并去重得到web.txt<\/code><\/li> 指纹识别： TideFinger -uf web.txt -nobr -nopoc <\/span><\/span>ehole.exe finger -l web.txt <\/span><\/span><\/code><\/pre><\/li> <\/ol> [4] 自动化扫描阶段<\/h2> # Nuclei<\/span> <\/span><\/span>nuclei.exe -list test.txt -o output.txt <\/span><\/span> <\/span><\/span># Afrog<\/span> <\/span><\/span>afrog -T urls.txt <\/span><\/span> <\/span><\/span># Xray<\/span> <\/span><\/span>xray.exe webscan --basic-crawler http:\/\/xxxx.com\/ --html-output output-a.html <\/span><\/span>xray.exe webscan --listen 127.0.0.1:7777 --html-output output-b.html <\/span><\/span><\/code><\/pre>[5] 重点目标针对收集阶段<\/h2> 架构信息收集<\/h3> 反向代理<\/strong>：使用Wappalyzer识别<\/li> 负载均衡<\/strong>：使用lbd<\/code>工具识别<\/li> 站库分离<\/strong>：分析请求响应特征<\/li> CDN<\/strong>：识别：多地ping测试（17ce）<\/li> 绕过方法：全球ping（ipip.net）<\/li> 历史DNS记录（IP138）<\/li> 接口查询（Get-site-ip）<\/li> 反向邮件<\/li> FuckCDN工具<\/li> <\/ul> <\/li> <\/ul> <\/li> WAF<\/strong>：使用wafw00f识别<\/li> <\/ol> 源码信息收集<\/h3> CMS识别<\/strong>：云悉<\/li> 360观星<\/li> <\/ul> <\/li> 源码泄露<\/strong>： index of目录遍历<\/li> GitHack：https:\/\/github.com\/lijiejie\/GitHack<\/li> SvnHack：https:\/\/github.com\/shengqi158\/svnhack<\/li> ds_store_exp：https:\/\/github.com\/lijiejie\/ds_store_exp<\/li> <\/ul> <\/li> <\/ol> 网站基本信息<\/h3> 语言<\/strong>：Wappalyzer识别<\/li> 数据库<\/strong>：Wappalyzer\/fofa识别<\/li> Web容器<\/strong>：Wappalyzer\/fofa识别<\/li> 操作系统<\/strong>：TTL值分析<\/li> <\/ol> 网站深度信息收集<\/h3> 目录爆破<\/strong>： fuff：https:\/\/github.com\/ffuf\/ffuf<\/li> 7kbscan：https:\/\/github.com\/7kbstorm\/7kbscan-WebPathBrute<\/li> dirsearch（Kali自带）<\/li> <\/ul> <\/li> JS接口<\/strong>：使用downloadjs.py<\/code>下载网站JS文件<\/li> 使用findapi.py<\/code>提取接口： p =<\/span> re.<\/span>findall(r<\/span>'https?:\/\/[^\s<\/span>\'<\/span>"]+'<\/span>, line) <\/span><\/span><\/code><\/pre><\/li> 工具： JSfinder<\/li> packer-fuzzer<\/li> URLfinder<\/li> <\/ul> <\/li> <\/ul> <\/li> 快照<\/strong>：Wayback Machine<\/li> 插件信息<\/strong>：Wappalyzer<\/li> 旁站<\/strong>：旁站工具分析<\/li> 端口服务<\/strong>： nmap<\/li> railgun（推荐）<\/li> <\/ul> <\/li> <\/ol> 网盘信息<\/h3> GitHub语法<\/strong>： site:Github.com smtp @qq.com <\/span><\/span>site:Github.com String password smtp <\/span><\/span>site:Github.com root password <\/span><\/span><\/code><\/pre><\/li> GitHub监控<\/strong>：云绘监控 https:\/\/github.yhuisec.com\/<\/li> 工具<\/strong>： gitdorks_go：https:\/\/github.com\/damit5\/gitdorks_go<\/li> GitDorker：https:\/\/github.com\/obheda12\/GitDorker<\/li> <\/ul> <\/li> <\/ol> 社工信息<\/h3> Google语法示例<\/strong>：<\/p> site:baidu.com ext:log|ext:txt|ext:conf|ext:cnf|ext:ini|ext:env <\/span><\/span>inurl:config|inurl:env|inurl:setting site:baidu.com <\/span><\/span>site:pastebin.com "baidu.com"<\/span> <\/span><\/span><\/code><\/pre>小程序\/APP信息<\/h3> 抓包分析<\/strong>：Burp Suite<\/li> 反编译<\/strong>：查壳工具（apkscan）<\/li> AppInfoScanner<\/li> APKEditor<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 信息收集是一个层层递进的过程，需要结合自动化工具和手工验证。关键在于：<\/p> 全面发现资产<\/li> 深入扩展隐蔽资产<\/li> 有效梳理和识别关键目标<\/li> 针对性深度收集<\/li> <\/ol> 通过系统性的信息收集，可以为后续渗透测试打下坚实基础，显著提高发现漏洞的概率。<\/p>

信息收集的艺术：全面渗透测试资产收集指南<\/h1>

前言<\/h2>
信息收集远不只是简单的子域名扫描、目录爆破和端口探测。本文将系统性地介绍信息收集的完整流程和方法，帮助安全研究人员掌握资产发现、扩展和梳理的真正艺术。<\/p>

[1] 资产发现阶段<\/h2>

主域名收集<\/h3>
利用`company.txt<\/code>中的公司名收集其主域名。<\/p>`
`方法<\/strong>：<\/p>`

小蓝本查询<\/h4>
https:\/\/sou.xiaolanben.com\/ 知识产权板块获取ICP备案<\/p>
结果<\/strong>：保存主域名为`domain.txt<\/code><\/p>`

[2] 资产扩展阶段<\/h2>

[3] 资产梳理阶段<\/h2>

[5] 重点目标针对收集阶段<\/h2>

信息收集的艺术：全面渗透测试资产收集指南<\/h1>

前言<\/h2> 信息收集远不只是简单的子域名扫描、目录爆破和端口探测。本文将系统性地介绍信息收集的完整流程和方法，帮助安全研究人员掌握资产发现、扩展和梳理的真正艺术。<\/p>

[1] 资产发现阶段<\/h2>

主域名收集<\/h3> 利用company.txt<\/code>中的公司名收集其主域名。<\/p> 方法<\/strong>：<\/p>

小蓝本查询<\/h4> https:\/\/sou.xiaolanben.com\/ 知识产权板块获取ICP备案<\/p> 结果<\/strong>：保存主域名为domain.txt<\/code><\/p>

[2] 资产扩展阶段<\/h2>

[3] 资产梳理阶段<\/h2>

[5] 重点目标针对收集阶段<\/h2>

前言<\/h2>
信息收集远不只是简单的子域名扫描、目录爆破和端口探测。本文将系统性地介绍信息收集的完整流程和方法，帮助安全研究人员掌握资产发现、扩展和梳理的真正艺术。<\/p>

主域名收集<\/h3>
利用`company.txt<\/code>中的公司名收集其主域名。<\/p>`
`方法<\/strong>：<\/p>`

小蓝本查询<\/h4>
https:\/\/sou.xiaolanben.com\/ 知识产权板块获取ICP备案<\/p>
结果<\/strong>：保存主域名为`domain.txt<\/code><\/p>`