web安全信息收集技巧+工具汇总
字数 3326 2025-10-14 00:33:59

Web安全信息收集:全面指南与工具集

信息收集是渗透测试的基石,其深度和广度直接决定了后续测试的边界和成功率。本指南将系统性地梳理信息收集的各个环节、技巧及对应工具。

一、 目标定位:企业信息与域名发现

在技术探测之前,首先需要明确目标对象,即“谁是我们的目标?”

  1. 在线工具厂商查询

    • 目的:通过公司名称,查找其相关的官方网站、子公司、控股公司等,从而扩大目标范围。
    • 工具
      • 企查查https://www.qcc.com/
      • 爱企查https://aiqicha.baidu.com/
      • 小蓝本https://www.xiaolanben.com/
    • 技巧:关注公司的“官方网站”、“备案信息”、“对外投资”等信息。

  2. 域名反查(域名 -> 厂商)

    • 目的:已知一个域名,确认其所属企业。
    • 工具
      • ICP备案查询网https://www.beianx.cn/search
      • 工业和信息化部政务服务平台https://beian.miit.gov.cn/
    • 技巧:备案信息通常包含企业全称,是权威的来源。

  3. IP反查域名

    • 目的:已知一个IP地址,查找该IP上绑定了哪些域名。
    • 工具
      • IP138https://site.ip138.com/
      • DNSGrephttps://www.dnsgrep.cn/
    • 技巧:一个IP可能托管多个网站,这有助于发现非主流域名或测试、临时站点。

  4. WHOIS查询

    • 目的:查询域名的注册信息,如注册人、邮箱、电话、注册商等。可能用于社工或发现关联域名。
    • 工具
      • 站长之家https://whois.chinaz.com/
      • 爱站网https://whois.aizhan.com/
    • 技巧:进行“注册人反查”,即用查到的注册邮箱或姓名去搜索其名下的其他域名。

二、 资产发现:根域名与子域名收集

确定核心目标后,需要找出所有可能存在的入口点,即子域名。

  1. 根域名搜集

    • 方法:综合使用上述“企业信息查询”和“WHOIS反查”的结果,整理出所有与目标相关的根域名(如 company.com, company.net, company-group.cn)。

  2. 子域名收集(重点)

    • 目的:子域名常对应着不同的应用系统(OA、邮箱、后台、API接口等),是扩大攻击面的关键。
    • 方法与工具
      • 工具扫描(主动)
        • 灯塔 ARL(ARLonforall):强大的自动化信息收集平台,集成多种子域名发现方式。
        • 子域名挖掘工具:如 subdomainizer, subfinder, amass 等。
      • DNS历史记录查询(被动)
        • 工具https://www.dnsgrep.cn/
        • 原理:查询域名的历史解析记录,可能会发现已下线但未注销的测试域名、旧版系统域名。
      • SSL证书查询(被动)
        • 工具https://myssl.com/(将域名替换为目标域名)
        • 原理:网站在申请SSL证书时,证书中会包含其域名信息。通过搜索证书透明度日志,可以找到关联子域名。
      • 搜索引擎语法(被动)
        • 语法:在 FofaShodanZoomEye 等网络空间搜索引擎中使用 domain="目标域名"
        • 示例:在Fofa中搜索 domain="qq.com"
      • 泛解析问题
        • 现象:使用字典爆破子域名时,所有不存在的子域名(如 random123.target.com)都被解析到同一个IP地址(如 target.com 的IP)。
        • 影响:会产生大量“假阳性”结果,干扰判断。
        • 应对:在扫描工具中启用泛解析检测功能,或手动验证扫描结果。

三、 偏远资产与特定系统发现

利用网络空间搜索引擎的特定语法,精准定位容易被忽略的资产或特定系统。

  1. 搜索引擎语法(以Fofa为例)

    • ICP备案号icp="京ICP备12345678号" (精准定位该备案号下的所有资产)
    • SSL证书信息cert="目标公司"cert="域名" (通过证书中的组织名查找)
    • 网站图标Hashicon_hash="图标哈希值" (相同的图标意味着可能是同一套系统)
    • 网页标题title="某某公司"title="登录"
    • 网页正文body="后台管理系统"body="忘记密码"
    • 其他常用语法
      • host="目标域名" (通过主机名查询)
      • ip="220.181.111.1/24" (查询C段IP资产)
      • port="8009" (查询特定端口)
      • app="Apache-Tomcat" (查询特定中间件/应用)
      • country="CN" (搜索指定国家的资产)
      • region="Henan" (搜索指定行政区的资产)

  2. 谷歌语法(用于公开信息检索)

    • site:.edu.cn:限定在 .edu.cn 域名下搜索。
    • inurl:admin:搜索URL中包含 admin 的网页。
    • intitle:登录:搜索标题中包含“登录”的网页。
    • intext:验证码:搜索网页正文中包含“验证码”的网页。
    • filetype:pdf:搜索PDF文件。
    • 组合使用site:*.edu.cn intitle:登录|后台|系统|管理 -inurl:page|files (查找教育网站的管理后台,并排除一些常见干扰路径)

四、 目录与文件扫描

发现具体应用后,需要探测其隐藏的目录、敏感文件(备份文件、配置文件、后台地址等)。

  • 工具dirsearch
  • 常用命令示例
    # 基本扫描
python3 dirsearch.py -u https://target.com -e php,html,js,bak,tar.gz

# 使用自定义字典和高线程
python3 dirsearch.py -u https://target.com -w /path/to/wordlist.txt -t 50

# 递归扫描,并设置Cookie(用于有权限控制的扫描)
python3 dirsearch.py -u https://target.com -e php --cookie "session=abc123" -r

# 使用随机User-Agent,并排除403状态码
python3 dirsearch.py -u https://target.com -e php --random-agents --exclude-status 403

# 指定HTTP方法,并携带POST数据
python3 dirsearch.py -u https://target.com -e php -m POST --data "key=value"
  • 关键参数
    • -e:指定扫描的文件扩展名。
    • -w:指定自定义字典。
    • -t:线程数。
    • -r:递归扫描。
    • --cookie:用于认证。
    • -i / -x:包含或排除特定HTTP状态码。
    • --proxy:设置代理。

五、 指纹识别与端口扫描

  1. 指纹识别

    • 目的:识别网站使用的技术栈,如CMS(WordPress, Joomla)、中间件(Nginx, Apache, Tomcat)、框架(Spring, Django)、前端库(jQuery, Vue)等。
    • 工具
      • Tscan:综合性扫描工具,通常包含指纹识别模块。
      • 浏览器插件:如 Wappalyzer
      • Burp Suite 插件:如 Software Vulnerability Scanner
    • 意义:识别指纹后,可以查找该技术已知的公开漏洞或针对性地进行漏洞测试。

  2. 端口扫描

    • 目的:发现目标服务器开放的网络端口,从而判断运行的服务(如Web服务-80/443,数据库-3306/1433,远程管理-22/3389)。
    • 工具
      • Tscan
      • Nmap:功能最强大的端口扫描器。
        • 基本扫描nmap -sS -T4 target_ip
        • 服务版本探测nmap -sS -sV target_ip
        • 全端口扫描nmap -sS -p- target_ip
        • 操作系统探测nmap -O target_ip

六、 信息收集流程总结

一个高效的信息收集流程可以概括为:

  1. 明确目标:使用企查查等工具,确定目标企业及其根域名。
  2. 发散资产:通过子域名爆破、DNS历史、证书透明日志、空间引擎等方式,最大化地发现与目标相关的域名和IP。
  3. 精准定位:使用搜索引擎语法(Fofa/谷歌语法)查找特定系统(如后台、OA)、偏远资产(如C段、特定备案号资产)。
  4. 技术探测:对发现的每个Web应用进行目录扫描、指纹识别,初步评估其技术架构和脆弱点。
  5. 服务发现:对重要的服务器IP进行端口扫描,了解其开放的服务,寻找非Web端口的攻击入口。

免责声明:本文所有技术、工具及方法仅限用于安全学习、教学及合法授权的安全测试(渗透测试)用途。严格禁止利用这些技术进行任何非法攻击或侵犯他人隐私的行为。使用者需遵守《中华人民共和国网络安全法》等相关法律法规,任何不当使用带来的后果由使用者自行承担。

Web安全信息收集:全面指南与工具集 信息收集是渗透测试的基石,其深度和广度直接决定了后续测试的边界和成功率。本指南将系统性地梳理信息收集的各个环节、技巧及对应工具。 一、 目标定位:企业信息与域名发现 在技术探测之前,首先需要明确目标对象,即“谁是我们的目标?” 在线工具厂商查询 目的 :通过公司名称,查找其相关的官方网站、子公司、控股公司等,从而扩大目标范围。 工具 : 企查查 : https://www.qcc.com/ 爱企查 : https://aiqicha.baidu.com/ 小蓝本 : https://www.xiaolanben.com/ 技巧 :关注公司的“官方网站”、“备案信息”、“对外投资”等信息。 域名反查(域名 -> 厂商) 目的 :已知一个域名,确认其所属企业。 工具 : ICP备案查询网 : https://www.beianx.cn/search 工业和信息化部政务服务平台 : https://beian.miit.gov.cn/ 技巧 :备案信息通常包含企业全称,是权威的来源。 IP反查域名 目的 :已知一个IP地址,查找该IP上绑定了哪些域名。 工具 : IP138 : https://site.ip138.com/ DNSGrep : https://www.dnsgrep.cn/ 技巧 :一个IP可能托管多个网站,这有助于发现非主流域名或测试、临时站点。 WHOIS查询 目的 :查询域名的注册信息,如注册人、邮箱、电话、注册商等。可能用于社工或发现关联域名。 工具 : 站长之家 : https://whois.chinaz.com/ 爱站网 : https://whois.aizhan.com/ 技巧 :进行“注册人反查”,即用查到的注册邮箱或姓名去搜索其名下的其他域名。 二、 资产发现:根域名与子域名收集 确定核心目标后,需要找出所有可能存在的入口点,即子域名。 根域名搜集 方法 :综合使用上述“企业信息查询”和“WHOIS反查”的结果,整理出所有与目标相关的根域名(如 company.com , company.net , company-group.cn )。 子域名收集(重点) 目的 :子域名常对应着不同的应用系统(OA、邮箱、后台、API接口等),是扩大攻击面的关键。 方法与工具 : 工具扫描(主动) : 灯塔 ARL(ARLonforall) :强大的自动化信息收集平台,集成多种子域名发现方式。 子域名挖掘工具 :如 subdomainizer , subfinder , amass 等。 DNS历史记录查询(被动) : 工具 : https://www.dnsgrep.cn/ 原理 :查询域名的历史解析记录,可能会发现已下线但未注销的测试域名、旧版系统域名。 SSL证书查询(被动) : 工具 : https://myssl.com/ (将域名替换为目标域名) 原理 :网站在申请SSL证书时,证书中会包含其域名信息。通过搜索证书透明度日志,可以找到关联子域名。 搜索引擎语法(被动) : 语法 :在 Fofa 、 Shodan 、 ZoomEye 等网络空间搜索引擎中使用 domain="目标域名" 。 示例 :在Fofa中搜索 domain="qq.com" 。 泛解析问题 : 现象 :使用字典爆破子域名时,所有不存在的子域名(如 random123.target.com )都被解析到同一个IP地址(如 target.com 的IP)。 影响 :会产生大量“假阳性”结果,干扰判断。 应对 :在扫描工具中启用泛解析检测功能,或手动验证扫描结果。 三、 偏远资产与特定系统发现 利用网络空间搜索引擎的特定语法,精准定位容易被忽略的资产或特定系统。 搜索引擎语法(以Fofa为例) ICP备案号 : icp="京ICP备12345678号" (精准定位该备案号下的所有资产) SSL证书信息 : cert="目标公司" 或 cert="域名" (通过证书中的组织名查找) 网站图标Hash : icon_hash="图标哈希值" (相同的图标意味着可能是同一套系统) 网页标题 : title="某某公司" 或 title="登录" 网页正文 : body="后台管理系统" 或 body="忘记密码" 其他常用语法 : host="目标域名" (通过主机名查询) ip="220.181.111.1/24" (查询C段IP资产) port="8009" (查询特定端口) app="Apache-Tomcat" (查询特定中间件/应用) country="CN" (搜索指定国家的资产) region="Henan" (搜索指定行政区的资产) 谷歌语法(用于公开信息检索) site:.edu.cn :限定在 .edu.cn 域名下搜索。 inurl:admin :搜索URL中包含 admin 的网页。 intitle:登录 :搜索标题中包含“登录”的网页。 intext:验证码 :搜索网页正文中包含“验证码”的网页。 filetype:pdf :搜索PDF文件。 组合使用 : site:*.edu.cn intitle:登录|后台|系统|管理 -inurl:page|files (查找教育网站的管理后台,并排除一些常见干扰路径) 四、 目录与文件扫描 发现具体应用后,需要探测其隐藏的目录、敏感文件(备份文件、配置文件、后台地址等)。 工具 : dirsearch 常用命令示例 : 关键参数 : -e :指定扫描的文件扩展名。 -w :指定自定义字典。 -t :线程数。 -r :递归扫描。 --cookie :用于认证。 -i / -x :包含或排除特定HTTP状态码。 --proxy :设置代理。 五、 指纹识别与端口扫描 指纹识别 目的 :识别网站使用的技术栈,如CMS(WordPress, Joomla)、中间件(Nginx, Apache, Tomcat)、框架(Spring, Django)、前端库(jQuery, Vue)等。 工具 : Tscan :综合性扫描工具,通常包含指纹识别模块。 浏览器插件 :如 Wappalyzer 。 Burp Suite 插件 :如 Software Vulnerability Scanner 。 意义 :识别指纹后,可以查找该技术已知的公开漏洞或针对性地进行漏洞测试。 端口扫描 目的 :发现目标服务器开放的网络端口,从而判断运行的服务(如Web服务-80/443,数据库-3306/1433,远程管理-22/3389)。 工具 : Tscan Nmap :功能最强大的端口扫描器。 基本扫描 : nmap -sS -T4 target_ip 服务版本探测 : nmap -sS -sV target_ip 全端口扫描 : nmap -sS -p- target_ip 操作系统探测 : nmap -O target_ip 六、 信息收集流程总结 一个高效的信息收集流程可以概括为: 明确目标 :使用企查查等工具,确定目标企业及其根域名。 发散资产 :通过子域名爆破、DNS历史、证书透明日志、空间引擎等方式,最大化地发现与目标相关的域名和IP。 精准定位 :使用搜索引擎语法(Fofa/谷歌语法)查找特定系统(如后台、OA)、偏远资产(如C段、特定备案号资产)。 技术探测 :对发现的每个Web应用进行目录扫描、指纹识别,初步评估其技术架构和脆弱点。 服务发现 :对重要的服务器IP进行端口扫描,了解其开放的服务,寻找非Web端口的攻击入口。 免责声明 :本文所有技术、工具及方法仅限用于安全学习、教学及合法授权的安全测试(渗透测试)用途。严格禁止利用这些技术进行任何非法攻击或侵犯他人隐私的行为。使用者需遵守《中华人民共和国网络安全法》等相关法律法规,任何不当使用带来的后果由使用者自行承担。