我的信息搜集之道
字数 2471 2025-08-18 11:39:19

信息搜集技术全面指南

信息搜集概述

信息搜集(也称踩点)是渗透测试中最重要的阶段,占据整个渗透测试的60%。通过收集目标的各种信息(如端口信息、DNS信息、员工邮箱等),可以大大提高渗透测试的成功率。

信息搜集分类

  1. 主动式信息搜集:直接与被测目标网络互动获取信息(如Nmap扫描),获取信息多但易被发现
  2. 被动式信息搜集:通过第三方服务获取目标信息(如搜索引擎),获取信息少但不易被发现

信息搜集内容

  1. 域名相关

    • Whois信息
    • 子域名
    • 备案信息
    • DNS信息

  2. 服务器相关

    • 端口服务
    • 真实IP
    • WAF探测

  3. 网站程序相关

    • 网站架构(操作系统、中间件、数据库、编程语言)
    • 敏感目录及敏感信息
    • 源码泄露
    • 脆弱系统
    • 旁站查询
    • C端查询
    • 指纹信息

  4. 企业相关

    • 天眼查信息
    • 企业信用信息
    • 社交平台信息(朋友圈、微博、QQ空间等)

信息搜集流程

  1. 域名层面

    • Whois查询
    • 子域名搜集
    • 备案信息查询

  2. 服务器层面

    • DNS信息查询
    • 端口服务扫描
    • 真实IP获取

  3. 网站程序层面

    • 网站架构分析
    • 敏感目录扫描
    • 脆弱系统识别
    • 旁站/C端查询
    • 指纹识别
    • WAF探测

  4. 企业层面

    • 天眼查查询
    • 企业信用信息查询

详细技术方法

1. Whois信息查询

作用:获取域名注册信息,包括注册商、联系人、联系邮箱、联系电话等,可用于反查、社工等。

查询工具

  • 站长之家(国内域名首选)
  • 微步在线
  • Linux whois命令(yum install whois
  • who.is网站(国际域名)

反查技巧

  • 通过联系人反查其他域名
  • 通过邮箱反查其他域名

注意:国内域名(如.cn)无法设置隐私保护,国际域名可能设置隐私保护。

2. 子域名搜集

作用:发现更多目标,增加渗透成功率,找到隐藏或遗忘的应用服务。

工具与方法

  1. Layer子域名挖掘机

    • 需要.NET Framework 4.0+
    • 可扫描端口和探测服务器类型

  2. 在线工具

    • 如Lcy在线子域名爆破工具

  3. SubDomainsBrute

    • Python编写
    • 字典较小但效率高

  4. 搜索引擎语法

    • site:xxx.com

3. 备案信息查询

类型

  • ICP备案(工业和信息化部)
  • 公安部备案

查询方式

  • 站长之家等在线工具查询ICP备案
  • 全国公安机关互联网安全管理服务平台查询公安备案

注意:国外服务器无需备案。

4. DNS信息搜集

作用:发现真实IP,检测DNS域传送漏洞。

工具

  • Kali命令:
    • host 域名
    • dig 域名
  • Windows命令:
    • nslookup 域名
  • 在线工具

5. 端口服务探测

工具

  • Nmap
    • 扫描命令示例:nmap -sS -sV -O 目标IP
    • 可获取操作系统类型、开放端口及对应服务

6. 获取真实IP(绕过CDN)

CDN原理:内容分发网络,通过多地节点加速访问,隐藏真实IP。

绕过方法

  1. 二级域名法:通常不是所有二级域名都使用CDN
  2. 多地ping法:不同地点ping结果不同则使用CDN
  3. nslookup法:使用国外DNS服务器查询
  4. 查看邮件法:通过邮件原文获取IP
  5. RSS订阅法
  6. 历史解析记录查询
  7. 利用网站漏洞(XSS、SSRF等)

7. 网站架构分析

分析内容

  • 操作系统
  • 中间件
  • 数据库
  • 编程语言

工具

  1. Nmapnmap -O 目标IP
  2. Wappalyzer插件:浏览器插件,直接显示网站技术栈
  3. 云悉在线工具:自动化识别CMS和组件

8. 敏感目录及信息搜集

工具与方法

  1. 御剑

    • 扫描敏感目录和文件
    • 需要强大的字典支持

  2. 搜索引擎语法

    • Google黑客语法:
      • site:xxx.com:返回所有相关网页
      • intext:关键词:正文包含关键词
      • intitle:关键词:标题包含关键词
      • filetype:文件类型:搜索指定文件
      • inurl:关键词:URL包含关键词

  3. BBscan

    • Python编写的信息泄漏批量扫描工具
    • 安装依赖:pip install -r requirements.txt

  4. GSIL

    • 从GitHub寻找敏感文件的工具
    • 需要配置GitHub API token

  5. 社交平台

    • QQ群、文库、求职网等可能泄露敏感信息

9. 脆弱系统发现

网络空间搜索引擎

  • Shodan
  • FOFA
  • Zoomeye

作用:发现未授权访问、SQL注入、弱口令等漏洞。

10. 旁站查询

旁站定义:与目标网站在同一服务器上的其他网站。

工具

  • 站长之家等在线工具
  • k8工具(需必应API,可能已失效)

11. C端查询

C端定义:与目标服务器IP同C段的其他服务器。

工具

  1. 北极熊扫描器

    • 可获取网站标题、服务环境、程序类型
    • 误报率较高但C端扫描效果不错

  2. Nmap

    • 扫描命令:nmap -p 80,443 IP段

12. 指纹识别

指纹来源

  • 特定JS/CSS文件
  • HTML标题和meta标签
  • 注释中的版权信息
  • 特定图片文件
  • robots.txt内容
  • HTTP头信息
  • 404页面特征

识别工具

  1. 云悉在线工具
  2. Wappalyzer插件
  3. WhatWeb工具

13. WAF探测

WAF原理:基于Headers头信息进行防护。

探测方法

  1. Nmap脚本

    • http-waf-detect
    • http-waf-fingerprint

  2. WAFW00F工具:专门用于WAF识别

  3. 手工探测

    • 提交恶意数据观察拦截情况
    • 如:http://目标.com/?id=1 AND 1=1

14. 企业信息查询

工具

  1. 天眼查

    • 企业背景、发展、风险等多维度信息

  2. 企业信用信息公示系统

    • 官方企业信用信息

总结

信息搜集是渗透测试的基础和关键环节,需要综合运用多种工具和技术。针对国内目标,应优先选择适合国内环境的工具(如站长之家查询whois)。在实际操作中,应根据目标特点灵活组合各种方法,并注意合法合规性。

参考:《Kali Linux 渗透测试的艺术》

信息搜集技术全面指南 信息搜集概述 信息搜集(也称踩点)是渗透测试中最重要的阶段,占据整个渗透测试的60%。通过收集目标的各种信息(如端口信息、DNS信息、员工邮箱等),可以大大提高渗透测试的成功率。 信息搜集分类 主动式信息搜集 :直接与被测目标网络互动获取信息(如Nmap扫描),获取信息多但易被发现 被动式信息搜集 :通过第三方服务获取目标信息(如搜索引擎),获取信息少但不易被发现 信息搜集内容 域名相关 : Whois信息 子域名 备案信息 DNS信息 服务器相关 : 端口服务 真实IP WAF探测 网站程序相关 : 网站架构(操作系统、中间件、数据库、编程语言) 敏感目录及敏感信息 源码泄露 脆弱系统 旁站查询 C端查询 指纹信息 企业相关 : 天眼查信息 企业信用信息 社交平台信息(朋友圈、微博、QQ空间等) 信息搜集流程 域名层面 : Whois查询 子域名搜集 备案信息查询 服务器层面 : DNS信息查询 端口服务扫描 真实IP获取 网站程序层面 : 网站架构分析 敏感目录扫描 脆弱系统识别 旁站/C端查询 指纹识别 WAF探测 企业层面 : 天眼查查询 企业信用信息查询 详细技术方法 1. Whois信息查询 作用 :获取域名注册信息,包括注册商、联系人、联系邮箱、联系电话等,可用于反查、社工等。 查询工具 : 站长之家(国内域名首选) 微步在线 Linux whois命令( yum install whois ) who.is网站(国际域名) 反查技巧 : 通过联系人反查其他域名 通过邮箱反查其他域名 注意 :国内域名(如.cn)无法设置隐私保护,国际域名可能设置隐私保护。 2. 子域名搜集 作用 :发现更多目标,增加渗透成功率,找到隐藏或遗忘的应用服务。 工具与方法 : Layer子域名挖掘机 : 需要.NET Framework 4.0+ 可扫描端口和探测服务器类型 在线工具 : 如Lcy在线子域名爆破工具 SubDomainsBrute : Python编写 字典较小但效率高 搜索引擎语法 : site:xxx.com 3. 备案信息查询 类型 : ICP备案(工业和信息化部) 公安部备案 查询方式 : 站长之家等在线工具查询ICP备案 全国公安机关互联网安全管理服务平台查询公安备案 注意 :国外服务器无需备案。 4. DNS信息搜集 作用 :发现真实IP,检测DNS域传送漏洞。 工具 : Kali命令: host 域名 dig 域名 Windows命令: nslookup 域名 在线工具 5. 端口服务探测 工具 : Nmap : 扫描命令示例: nmap -sS -sV -O 目标IP 可获取操作系统类型、开放端口及对应服务 6. 获取真实IP(绕过CDN) CDN原理 :内容分发网络,通过多地节点加速访问,隐藏真实IP。 绕过方法 : 二级域名法:通常不是所有二级域名都使用CDN 多地ping法:不同地点ping结果不同则使用CDN nslookup法:使用国外DNS服务器查询 查看邮件法:通过邮件原文获取IP RSS订阅法 历史解析记录查询 利用网站漏洞(XSS、SSRF等) 7. 网站架构分析 分析内容 : 操作系统 中间件 数据库 编程语言 工具 : Nmap : nmap -O 目标IP Wappalyzer插件 :浏览器插件,直接显示网站技术栈 云悉在线工具 :自动化识别CMS和组件 8. 敏感目录及信息搜集 工具与方法 : 御剑 : 扫描敏感目录和文件 需要强大的字典支持 搜索引擎语法 : Google黑客语法: site:xxx.com :返回所有相关网页 intext:关键词 :正文包含关键词 intitle:关键词 :标题包含关键词 filetype:文件类型 :搜索指定文件 inurl:关键词 :URL包含关键词 BBscan : Python编写的信息泄漏批量扫描工具 安装依赖: pip install -r requirements.txt GSIL : 从GitHub寻找敏感文件的工具 需要配置GitHub API token 社交平台 : QQ群、文库、求职网等可能泄露敏感信息 9. 脆弱系统发现 网络空间搜索引擎 : Shodan FOFA Zoomeye 作用 :发现未授权访问、SQL注入、弱口令等漏洞。 10. 旁站查询 旁站定义 :与目标网站在同一服务器上的其他网站。 工具 : 站长之家等在线工具 k8工具(需必应API,可能已失效) 11. C端查询 C端定义 :与目标服务器IP同C段的其他服务器。 工具 : 北极熊扫描器 : 可获取网站标题、服务环境、程序类型 误报率较高但C端扫描效果不错 Nmap : 扫描命令: nmap -p 80,443 IP段 12. 指纹识别 指纹来源 : 特定JS/CSS文件 HTML标题和meta标签 注释中的版权信息 特定图片文件 robots.txt内容 HTTP头信息 404页面特征 识别工具 : 云悉在线工具 Wappalyzer插件 WhatWeb工具 13. WAF探测 WAF原理 :基于Headers头信息进行防护。 探测方法 : Nmap脚本 : http-waf-detect http-waf-fingerprint WAFW00F工具 :专门用于WAF识别 手工探测 : 提交恶意数据观察拦截情况 如: http://目标.com/?id=1 AND 1=1 14. 企业信息查询 工具 : 天眼查 : 企业背景、发展、风险等多维度信息 企业信用信息公示系统 : 官方企业信用信息 总结 信息搜集是渗透测试的基础和关键环节,需要综合运用多种工具和技术。针对国内目标,应优先选择适合国内环境的工具(如站长之家查询whois)。在实际操作中,应根据目标特点灵活组合各种方法,并注意合法合规性。 参考 :《Kali Linux 渗透测试的艺术》