渗透测试之信息收集篇(含思维导图)
字数 3711 2025-08-12 11:34:03

渗透测试信息收集全面指南

一、信息收集概述

渗透测试的本质是信息收集,也称为资产收集。这是渗透测试前期的主要工作,也是非常重要的环节。通过收集足够多的信息,才能为后续测试打下基础。

信息收集的主要内容

  • 网站域名信息
  • 子域名信息
  • 目标网站真实IP
  • 敏感目录/文件
  • 开放端口
  • 中间件信息
  • 服务器类型和版本
  • CMS类型
  • WAF信息

二、目标对象分类

1. 单个目标服务器(非web)

2. Web服务器

3. 整个网络拓扑

内网部分:

  • 网络设备:交换机、路由器、防火墙、IDS等
  • 网络中的服务器:文件服务器、DNS、HTTP、域控制器等

外网部分:

  • 相关联的其他服务器(IP关联、服务关联)
  • 旁站、C段、邮件服务器、DNS服务器、代理服务器等

三、Web方向信息收集

1. 域名信息收集

1.1 对应IP收集

工具:nslookup、ip138等

1.2 子域名收集

作用:扩大测试范围,同一域名下的二级域名都属于目标范围

常用方法

  • Fofa搜索:title="公司名称"
  • 百度搜索:intitle=公司名称
  • Google搜索:intitle=公司名称
  • 站长之家:http://tool.chinaz.com
  • 钟馗之眼:site=域名 https://www.zoomeye.org/
  • 子域名在线查询:https://www.t1h2ua.cn/tools/
  • 工具:Layer、subDomainsBrute

1.3 Whois信息查询

根据已知域名反查,分析出域名的注册人、邮箱、电话等信息

推荐查询网站

  • 站长之家:http://whois.chinaz.com/
  • 爱站网:https://whois.aizhan.com/
  • 腾讯云:https://whois.cloud.tencent.com/
  • 国外查询:https://who.is/

2. 敏感目录收集

通过扫描目录和文件,了解网站结构,获取突破点(如后台、文件备份、上传点等)

收集方向

  • Robots.txt
  • 后台目录
  • 安装包
  • 上传目录
  • MySQL管理接口
  • 安装页面
  • phpinfo
  • 编辑器目录
  • IIS短文件
  • 分析网站CMS

常用工具

  • 字典爆破:御剑、dirbuster、wwwscan、iis_shortname_scanner等
  • 蜘蛛爬行:爬行菜刀、webrobot、burp等

3. 端口分析

服务器开放服务必须开启端口,常见端口类型为TCP和UDP(范围0-65535)

4. 旁站和C段

旁站:一个服务器上有多个网站,通过IP查询服务器上的网站

C段:查找同一个IP段服务器上的网站,可找到同类网站和服务器

收集方向

  • 域名
  • 端口
  • 目录

常用工具

  • Web查询:http://www.5kik.com/c/
  • 端口扫描:portscan

5. 整站分析

5.1 服务器类型

服务器平台、版本等

5.2 网站容器

如:IIS、Apache、Nginx、Tomcat等

5.3 脚本类型

如:ASP、PHP、JSP、ASPX等

5.4 数据库类型

如:Access、SQL Server、MySQL、Oracle、PostgreSQL等

常见组合

  • ASP + Access/SQL Server
  • ASPX + SQL Server/Access
  • PHP + MySQL
  • PHP + PostgreSQL
  • PHP + Oracle
  • JSP + SQL Server/MySQL/Oracle
    • Linux: JSP + MySQL
    • Windows: JSP + SQL Server

5.5 CMS类型识别

识别方法

  • Robots文件
  • /plugs/目录
  • 登陆后台泄露CMS类型
  • 网站页脚泄露CMS类型
  • 工具自动化识别
  • 对应CMS漏洞利用
  • 下载CMS分析目录
  • 审计CMS源码漏洞

5.6 WAF识别

6. Google Hacking技巧

  • intext: 查找网页中含有xx关键字的网站,如:intext:管理员登陆
  • intitle: 查找某个标题,如:intitle:后台登陆
  • filetype: 查找某个文件类型的文件,如:数据挖掘 filetype:doc
  • inurl: 查找URL中带有某字段的网站,如:inurl:php?id=
  • site: 在特定域名中查找信息

7. URL采集

采集方向

  • 相关URL的同类网站
  • php?id=漏洞网站
  • 相同指纹网站

常用工具

  • Google Hacking
  • URL采集器

8. 后台查找方法

  • 弱口令默认后台:admin, admin/login.asp, manage.asp等
  • 查找网页链接:主页可能有"管理登陆"等
  • 查找网站图片属性
  • 确定网站使用的管理系统
  • 使用工具查找:wwwscan, intellitamper, 御剑
  • robots.txt文件
  • 查看网站使用的编辑器是否有默认后台
  • 短文件利用:sqlmap --sql-shell load_file('d:/wwwroot/index.php')
  • 找关联性信息:
    • 同一个建站商
    • 同一个注册邮箱
    • 同一个注册人
    • 后台可能不在同一个站
    • 端口后台
    • 子域名(如admin.baidu.com, system.baidu.com)
    • 可能是完全独立的另一个域名
    • 如果是同一个服务器可以查旁站

9. CDN绕过方法

判断CDN:使用超级ping

绕过方法

  • 查找二级域名
  • 让服务器主动发包(如邮件)
  • 敏感目录泄漏
  • 查询历史解析IP
  • 访问绕过CDN(修改hosts文件)

四、Kali信息收集工具

1. Robots文件探测

获取网站隐藏的敏感目录或文件,如安装目录、上传目录、编辑器目录等

示例:www.baidu.com/robots.txt

2. DNS信息收集

收集网站域名信息,如子域名、其他域名、解析服务器等

常用工具

  • dnsenum
  • dig
  • fierce

Whois信息收集
whois baidu.com

dnsenum使用

dnsenum --enum baidu.com

选项:

  • -r 允许递归查询
  • -w 允许whois请求
  • -o 指定输入文件位置

3. 敏感目录探测

3.1 暴力破解

需要强大的目录名称字典,通过响应码判断目录或页面是否存在

3.2 目录爬行

使用网络蜘蛛工具对网站链接进行快速爬行

dirb使用

dirb http://www.baidu.com -a "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"

选项:

  • -a 改变UA躲避安全狗
  • -b 指定扫描路径
  • -c 指定cookie
  • -p 代理设置

图形界面工具:Dirbuster

4. 端口探测

5. 整站识别

6. Whatweb

识别网站CMS及搭建平台环境的工具

使用:

whatweb -v http://baidu.com

可识别平台、脚本、CMS、容器、数据库等信息

7. WAF探测

工具:Wafw00f

使用:

wafw00f http://www.baidu.com

五、信息收集详细分类

  1. 服务器相关信息:真实IP、系统类型、版本、开放端口、WAF等
  2. 网站指纹识别:CMS、CDN、证书等
  3. DNS记录
  4. Whois信息:姓名、备案、邮箱、电话反查(可用于社工)
  5. 子域名收集:旁站、C段等
  6. Google Hacking:针对化搜索word/电子表格/pdf文件、中间件版本、弱口令扫描等
  7. 扫描网站目录结构:爆后台、网站banner、测试文件、备份等敏感文件泄漏
  8. 传输协议、通用漏洞、exp、github源码等

六、常见信息收集方法

  1. Whois查询:查询域名注册信息(个人/企业信息)
  2. 备案查询:通过备案号查询企业/个人信息
  3. 子域名收集
    • 根域名:baidu.com
    • 子域名(二级域名):www.baidu.com
    • 三级域名:wiki.baidu.com
  4. 端口扫描:识别开放服务
  5. 查找真实IP:绕过CDN获取真实服务器IP
  6. 探测旁站及C段
    • 旁站:同一服务器上的多个网站
    • C段:同一IP段的服务器
  7. 网络空间搜索引擎:如FOFA、Shodan等
  8. 扫描敏感目录/文件:获取网站结构信息
  9. 指纹识别:识别CMS/框架版本,查找相关漏洞

七、在线备案查询网站

  1. 天眼查:https://www.tianyancha.com/
  2. ICP备案查询网:http://www.beianbeian.com/
  3. 爱站备案查询:https://icp.aizhan.com/
  4. 域名助手备案查询:http://cha.fute.com/index

八、FOFA高级搜索技巧

  1. 同IP旁站:ip="192.168.0.1"
  2. C段搜索:ip="192.168.0.0/24"
  3. 子域名搜索:domain="baidu.com"
  4. 标题/关键字搜索:title="百度"
  5. 限定城市范围:可拼接语句缩小范围

九、中间件识别

常见Web服务中间件:

  • Apache
  • IIS7/7.5/8
  • Nginx
  • WebLogic
  • Tomcat

十、高级搜索技巧

当找到目标一处资产但难以收集其他资产时:

  1. 查看站点body中是否有目标特征
  2. 使用网络空间搜索引擎(如FOFA)搜索该特征
    • 如:body="XX公司"body="baidu"
渗透测试信息收集全面指南 一、信息收集概述 渗透测试的本质是信息收集,也称为资产收集。这是渗透测试前期的主要工作,也是非常重要的环节。通过收集足够多的信息,才能为后续测试打下基础。 信息收集的主要内容 网站域名信息 子域名信息 目标网站真实IP 敏感目录/文件 开放端口 中间件信息 服务器类型和版本 CMS类型 WAF信息 二、目标对象分类 1. 单个目标服务器(非web) 2. Web服务器 3. 整个网络拓扑 内网部分: 网络设备:交换机、路由器、防火墙、IDS等 网络中的服务器:文件服务器、DNS、HTTP、域控制器等 外网部分: 相关联的其他服务器(IP关联、服务关联) 旁站、C段、邮件服务器、DNS服务器、代理服务器等 三、Web方向信息收集 1. 域名信息收集 1.1 对应IP收集 工具:nslookup、ip138等 1.2 子域名收集 作用 :扩大测试范围,同一域名下的二级域名都属于目标范围 常用方法 : Fofa搜索: title="公司名称" 百度搜索: intitle=公司名称 Google搜索: intitle=公司名称 站长之家:http://tool.chinaz.com 钟馗之眼: site=域名 https://www.zoomeye.org/ 子域名在线查询:https://www.t1h2ua.cn/tools/ 工具:Layer、subDomainsBrute 1.3 Whois信息查询 根据已知域名反查,分析出域名的注册人、邮箱、电话等信息 推荐查询网站 : 站长之家:http://whois.chinaz.com/ 爱站网:https://whois.aizhan.com/ 腾讯云:https://whois.cloud.tencent.com/ 国外查询:https://who.is/ 2. 敏感目录收集 通过扫描目录和文件,了解网站结构,获取突破点(如后台、文件备份、上传点等) 收集方向 : Robots.txt 后台目录 安装包 上传目录 MySQL管理接口 安装页面 phpinfo 编辑器目录 IIS短文件 分析网站CMS 常用工具 : 字典爆破:御剑、dirbuster、wwwscan、iis_ shortname_ scanner等 蜘蛛爬行:爬行菜刀、webrobot、burp等 3. 端口分析 服务器开放服务必须开启端口,常见端口类型为TCP和UDP(范围0-65535) 4. 旁站和C段 旁站 :一个服务器上有多个网站,通过IP查询服务器上的网站 C段 :查找同一个IP段服务器上的网站,可找到同类网站和服务器 收集方向 : 域名 端口 目录 常用工具 : Web查询:http://www.5kik.com/c/ 端口扫描:portscan 5. 整站分析 5.1 服务器类型 服务器平台、版本等 5.2 网站容器 如:IIS、Apache、Nginx、Tomcat等 5.3 脚本类型 如:ASP、PHP、JSP、ASPX等 5.4 数据库类型 如:Access、SQL Server、MySQL、Oracle、PostgreSQL等 常见组合 : ASP + Access/SQL Server ASPX + SQL Server/Access PHP + MySQL PHP + PostgreSQL PHP + Oracle JSP + SQL Server/MySQL/Oracle Linux: JSP + MySQL Windows: JSP + SQL Server 5.5 CMS类型识别 识别方法 : Robots文件 /plugs/目录 登陆后台泄露CMS类型 网站页脚泄露CMS类型 工具自动化识别 对应CMS漏洞利用 下载CMS分析目录 审计CMS源码漏洞 5.6 WAF识别 6. Google Hacking技巧 intext: 查找网页中含有xx关键字的网站,如: intext:管理员登陆 intitle: 查找某个标题,如: intitle:后台登陆 filetype: 查找某个文件类型的文件,如: 数据挖掘 filetype:doc inurl: 查找URL中带有某字段的网站,如: inurl:php?id= site: 在特定域名中查找信息 7. URL采集 采集方向 : 相关URL的同类网站 如 php?id= 漏洞网站 相同指纹网站 常用工具 : Google Hacking URL采集器 8. 后台查找方法 弱口令默认后台:admin, admin/login.asp, manage.asp等 查找网页链接:主页可能有"管理登陆"等 查找网站图片属性 确定网站使用的管理系统 使用工具查找:wwwscan, intellitamper, 御剑 robots.txt文件 查看网站使用的编辑器是否有默认后台 短文件利用: sqlmap --sql-shell load_file('d:/wwwroot/index.php') 找关联性信息: 同一个建站商 同一个注册邮箱 同一个注册人 后台可能不在同一个站 端口后台 子域名(如admin.baidu.com, system.baidu.com) 可能是完全独立的另一个域名 如果是同一个服务器可以查旁站 9. CDN绕过方法 判断CDN :使用超级ping 绕过方法 : 查找二级域名 让服务器主动发包(如邮件) 敏感目录泄漏 查询历史解析IP 访问绕过CDN(修改hosts文件) 四、Kali信息收集工具 1. Robots文件探测 获取网站隐藏的敏感目录或文件,如安装目录、上传目录、编辑器目录等 示例: www.baidu.com/robots.txt 2. DNS信息收集 收集网站域名信息,如子域名、其他域名、解析服务器等 常用工具 : dnsenum dig fierce Whois信息收集 : whois baidu.com dnsenum使用 : 选项: -r 允许递归查询 -w 允许whois请求 -o 指定输入文件位置 3. 敏感目录探测 3.1 暴力破解 需要强大的目录名称字典,通过响应码判断目录或页面是否存在 3.2 目录爬行 使用网络蜘蛛工具对网站链接进行快速爬行 dirb使用 : 选项: -a 改变UA躲避安全狗 -b 指定扫描路径 -c 指定cookie -p 代理设置 图形界面工具 :Dirbuster 4. 端口探测 5. 整站识别 6. Whatweb 识别网站CMS及搭建平台环境的工具 使用: 可识别平台、脚本、CMS、容器、数据库等信息 7. WAF探测 工具 :Wafw00f 使用: 五、信息收集详细分类 服务器相关信息 :真实IP、系统类型、版本、开放端口、WAF等 网站指纹识别 :CMS、CDN、证书等 DNS记录 Whois信息 :姓名、备案、邮箱、电话反查(可用于社工) 子域名收集 :旁站、C段等 Google Hacking :针对化搜索word/电子表格/pdf文件、中间件版本、弱口令扫描等 扫描网站目录结构 :爆后台、网站banner、测试文件、备份等敏感文件泄漏 传输协议、通用漏洞、exp、github源码等 六、常见信息收集方法 Whois查询 :查询域名注册信息(个人/企业信息) 备案查询 :通过备案号查询企业/个人信息 子域名收集 : 根域名:baidu.com 子域名(二级域名):www.baidu.com 三级域名:wiki.baidu.com 端口扫描 :识别开放服务 查找真实IP :绕过CDN获取真实服务器IP 探测旁站及C段 : 旁站:同一服务器上的多个网站 C段:同一IP段的服务器 网络空间搜索引擎 :如FOFA、Shodan等 扫描敏感目录/文件 :获取网站结构信息 指纹识别 :识别CMS/框架版本,查找相关漏洞 七、在线备案查询网站 天眼查:https://www.tianyancha.com/ ICP备案查询网:http://www.beianbeian.com/ 爱站备案查询:https://icp.aizhan.com/ 域名助手备案查询:http://cha.fute.com/index 八、FOFA高级搜索技巧 同IP旁站: ip="192.168.0.1" C段搜索: ip="192.168.0.0/24" 子域名搜索: domain="baidu.com" 标题/关键字搜索: title="百度" 限定城市范围:可拼接语句缩小范围 九、中间件识别 常见Web服务中间件: Apache IIS7/7.5/8 Nginx WebLogic Tomcat 十、高级搜索技巧 当找到目标一处资产但难以收集其他资产时: 查看站点body中是否有目标特征 使用网络空间搜索引擎(如FOFA)搜索该特征 如: body="XX公司" 或 body="baidu"