浅谈信息收集
字数 2656 2025-08-12 11:34:48

信息收集技术详解

1. 信息收集概述

渗透测试的本质是信息收集,信息收集的质量直接关系到渗透测试的成败。信息收集是通过各种方式获取目标系统的相关信息,掌握的信息越多,对目标系统进行渗透的优势就越大。

1.1 信息收集分类

主动信息收集

  • 定义:通过主动扫描目标主机或网站,对目标进行探测性扫描获取相关信息
  • 优点:获取信息更准确、更全面
  • 缺点:容易留下明显的攻击访问痕迹,易被发现和溯源

被动信息收集

  • 定义:通过搜索引擎等公开渠道进行相关信息的检索收集
  • 优点:不直接与目标交互,避免留下访问痕迹
  • 缺点:信息依赖于搜索引擎,准确性和质量无法保证

2. 域名信息收集

2.1 Whois查询

  • 用途:获取域名注册者邮箱地址等信息
  • 查询接口
    • 站长之家:https://whois.chinaz.com/
    • 阿里云:https://whois.aliyun.com/
    • 全球whois查询:https://www.whois.com/cn/

2.2 搜索引擎查找

  • Google语法site:baidu.com 查找子域名
  • 空间测绘搜索引擎
    • Fofa:https://fofa.info/toLogin
    • 鹰图:https://hunter.qianxin.com/
    • Quake:https://quake.360.cn/quake/#/index
    • 钟馗之眼:https://www.zoomeye.org/
    • Shodan:https://www.shodan.io/

2.3 第三方查询工具

  • DNSDumpster
  • Virustotal
  • CrtSearch
  • threatminer
  • Censys

2.4 网站信息利用

  • 爬取网站收集子域信息(JavaScript文件、资源文件链接等)
  • 分析安全策略(跨域策略、CSP规则)
  • 检查SSL/TLS证书

2.5 CDN绕过

  • 检查父域或子域名是否使用CDN
  • 查找历史DNS解析记录

2.6 域名枚举工具

  • Layer子域名挖掘机
  • burp插件domain_hunter_pro
  • dirsearch/dirb
  • 御剑后台扫描
  • teemo
  • subDomainsBrute

3. 端口信息收集

3.1 常见端口脆弱点

端口 服务 可能风险
21 FTP 匿名/弱口令
80 Web Web漏洞/后台弱口令
443 Openssl 心脏滴血漏洞
873 rsync 匿名/弱口令
6379 Redis 无认证直接访问
7001 Weblogic 默认弱口令
8080 Tomcat 弱口令/默认口令
27017 MongoDB 未授权访问

3.2 端口扫描技术

TCP全连接扫描

  • 调用connect函数建立完整TCP连接
  • 速度较慢,易被检测

TCP半连接扫描(SYN扫描)

  • 仅完成前两次握手
  • 需要较高系统权限

FIN扫描

  • 发送FIN数据包
  • 关闭端口会回复RST,开放端口忽略

ACK扫描

  • 探测防火墙状态
  • 不能确定端口开放状态

NULL扫描

  • 所有标志位置0
  • 关闭端口回复RST

3.3 批量端口搜索

使用资产搜索引擎:

  • Shodan
  • ZoomEye
  • Fofa
  • 鹰图

4. 站点信息收集

4.1 操作系统识别

  • Linux:大小写敏感
  • Windows:大小写不敏感

4.2 敏感文件扫描

  • robots.txt
  • crossdomain.xml
  • sitemap.xml
  • .tar.gz/.bak文件

4.3 网站语言识别

  • 文件后缀:php/asp/jsp
  • 响应头信息

4.4 前后端框架识别

  • 查看源代码
  • 根据Cookie判断
  • CSS/图片资源hash值
  • URL路由特征
  • 响应头中的X-Powered-By

4.5 Web容器识别

  • Apache/Nginx/IIS
  • 报错信息
  • 默认页面

4.6 CDN信息

  • Cloudflare
  • 云加速等

4.7 WAF探测

  • 识别WAF类型

4.8 敏感目录扫描

  • 查找信息泄漏

5. 搜索引擎利用

5.1 高级搜索语法

语法 描述 示例
site 限定特定站点 site:example.com
domain 查找相关网站信息(百度) domain:www.example.com
link 查询网站外链(Google) link:www.example.com
inurl URL中包含关键词 inurl:admin
and 与逻辑 A and B
or 或逻辑 A or B
"" 完全匹配 "exact phrase"
- 排除关键词 A -B
* 通配符 A*B
intitle 标题中包含 intitle:login
info 网站信息 info:example.com
filetype 特定文件类型 filetype:pdf

5.2 网页快照利用

  • 可能包含报错信息、测试信息等敏感内容

6. 社会工程学信息收集

6.1 企业信息查询

  • 工具
    • 天眼查
    • 爱企查
    • 企查查
  • 信息类型
    • 企业关系
    • 工商信息
    • 商标专利
    • 企业年报

6.2 人员信息收集

  • 目标:高管、系统管理员、运维、财务等关键人员
  • 方法
    • 网站联系方式和代码注释
    • 社工库查询
    • Github/Linkedin等平台信息
    • 邮箱密码爆破

7. 参考文献

  1. https://blog.csdn.net/weixin_52180702/article/details/125747433
  2. https://www.cnblogs.com/yier-G/p/16401337.html
  3. https://www.cnblogs.com/jiufang/p/16451981.html
  4. https://blog.csdn.net/qq_39520157/article/details/120152615
  5. https://blog.csdn.net/weixin_41423450/article/details/85081039
信息收集技术详解 1. 信息收集概述 渗透测试的本质是信息收集,信息收集的质量直接关系到渗透测试的成败。信息收集是通过各种方式获取目标系统的相关信息,掌握的信息越多,对目标系统进行渗透的优势就越大。 1.1 信息收集分类 主动信息收集 定义 :通过主动扫描目标主机或网站,对目标进行探测性扫描获取相关信息 优点 :获取信息更准确、更全面 缺点 :容易留下明显的攻击访问痕迹,易被发现和溯源 被动信息收集 定义 :通过搜索引擎等公开渠道进行相关信息的检索收集 优点 :不直接与目标交互,避免留下访问痕迹 缺点 :信息依赖于搜索引擎,准确性和质量无法保证 2. 域名信息收集 2.1 Whois查询 用途 :获取域名注册者邮箱地址等信息 查询接口 : 站长之家:https://whois.chinaz.com/ 阿里云:https://whois.aliyun.com/ 全球whois查询:https://www.whois.com/cn/ 2.2 搜索引擎查找 Google语法 : site:baidu.com 查找子域名 空间测绘搜索引擎 : Fofa:https://fofa.info/toLogin 鹰图:https://hunter.qianxin.com/ Quake:https://quake.360.cn/quake/#/index 钟馗之眼:https://www.zoomeye.org/ Shodan:https://www.shodan.io/ 2.3 第三方查询工具 DNSDumpster Virustotal CrtSearch threatminer Censys 2.4 网站信息利用 爬取网站收集子域信息(JavaScript文件、资源文件链接等) 分析安全策略(跨域策略、CSP规则) 检查SSL/TLS证书 2.5 CDN绕过 检查父域或子域名是否使用CDN 查找历史DNS解析记录 2.6 域名枚举工具 Layer子域名挖掘机 burp插件domain_ hunter_ pro dirsearch/dirb 御剑后台扫描 teemo subDomainsBrute 3. 端口信息收集 3.1 常见端口脆弱点 | 端口 | 服务 | 可能风险 | |------|------|----------| | 21 | FTP | 匿名/弱口令 | | 80 | Web | Web漏洞/后台弱口令 | | 443 | Openssl | 心脏滴血漏洞 | | 873 | rsync | 匿名/弱口令 | | 6379 | Redis | 无认证直接访问 | | 7001 | Weblogic | 默认弱口令 | | 8080 | Tomcat | 弱口令/默认口令 | | 27017 | MongoDB | 未授权访问 | 3.2 端口扫描技术 TCP全连接扫描 调用connect函数建立完整TCP连接 速度较慢,易被检测 TCP半连接扫描(SYN扫描) 仅完成前两次握手 需要较高系统权限 FIN扫描 发送FIN数据包 关闭端口会回复RST,开放端口忽略 ACK扫描 探测防火墙状态 不能确定端口开放状态 NULL扫描 所有标志位置0 关闭端口回复RST 3.3 批量端口搜索 使用资产搜索引擎: Shodan ZoomEye Fofa 鹰图 4. 站点信息收集 4.1 操作系统识别 Linux:大小写敏感 Windows:大小写不敏感 4.2 敏感文件扫描 robots.txt crossdomain.xml sitemap.xml .tar.gz/.bak文件 4.3 网站语言识别 文件后缀:php/asp/jsp 响应头信息 4.4 前后端框架识别 查看源代码 根据Cookie判断 CSS/图片资源hash值 URL路由特征 响应头中的X-Powered-By 4.5 Web容器识别 Apache/Nginx/IIS 报错信息 默认页面 4.6 CDN信息 Cloudflare 云加速等 4.7 WAF探测 识别WAF类型 4.8 敏感目录扫描 查找信息泄漏 5. 搜索引擎利用 5.1 高级搜索语法 | 语法 | 描述 | 示例 | |------|------|------| | site | 限定特定站点 | site:example.com | | domain | 查找相关网站信息(百度) | domain:www.example.com | | link | 查询网站外链(Google) | link:www.example.com | | inurl | URL中包含关键词 | inurl:admin | | and | 与逻辑 | A and B | | or | 或逻辑 | A or B | | "" | 完全匹配 | "exact phrase" | | - | 排除关键词 | A -B | | * | 通配符 | A* B | | intitle | 标题中包含 | intitle:login | | info | 网站信息 | info:example.com | | filetype | 特定文件类型 | filetype:pdf | 5.2 网页快照利用 可能包含报错信息、测试信息等敏感内容 6. 社会工程学信息收集 6.1 企业信息查询 工具 : 天眼查 爱企查 企查查 信息类型 : 企业关系 工商信息 商标专利 企业年报 6.2 人员信息收集 目标 :高管、系统管理员、运维、财务等关键人员 方法 : 网站联系方式和代码注释 社工库查询 Github/Linkedin等平台信息 邮箱密码爆破 7. 参考文献 https://blog.csdn.net/weixin_ 52180702/article/details/125747433 https://www.cnblogs.com/yier-G/p/16401337.html https://www.cnblogs.com/jiufang/p/16451981.html https://blog.csdn.net/qq_ 39520157/article/details/120152615 https://blog.csdn.net/weixin_ 41423450/article/details/85081039