漏洞挖掘 | SRC中的多维度信息收集(汇总篇)
字数 2530 2025-08-20 18:18:10

SRC漏洞挖掘中的多维度信息收集技术指南

一、信息收集的两个维度

1. 单一系统网站的信息收集要素

  • 域名信息
  • IP地址
  • 端口服务
  • 中间件/框架
  • 目录结构
  • 敏感文件
  • API接口
  • 第三方组件

2. 企业级多系统信息收集

  • 主站与子站关系
  • 子公司资产
  • 关联品牌资产
  • 移动应用资产
  • 网络拓扑结构

二、高纬度广域下的企业信息收集

1. SRC公告信息收集

  • 测试范围信息:明确SRC允许测试的资产范围
  • 漏洞活动公告:关注特殊时期的漏洞奖励活动
    • 龙湖SRC
    • 爱奇艺SRC等案例

2. 域名信息收集技术

2.1 知识产权查询

  • 查询平台
    • 企查查(https://www.qcc.com/)
    • 天眼查(https://www.tianyancha.com/)
    • 小蓝本(https://sou.xiaolanben.com/pc)
  • 查询内容:企业注册的域名、商标等知识产权信息

2.2 JS文件中的域名搜集

  • 工具推荐:JSFinder(https://github.com/Threezh1/JSFinder)
  • 使用方法
    # 直接输出到控制台
python JSFinder.py -u http://xxxxx/xxx.js -cli

# 常用参数
-u/--url     指定目标URL
-f/--file    指定包含URL或JS的文件
-ou/--outputurl      输出URL结果文件
-os/--outputsubdomain 输出子域名结果文件
-j/--js      在JS文件中查找
-d/--deep    深度查找

2.3 SSL证书中的域名搜集

  • 查询原理:利用证书颁发机构公开的域名信息
  • 在线查询:crt.sh网站
  • 自动化脚本
    python3 subdomain.py -D baidu.com
    脚本功能:
    • 同时查询crt.sh和CertSpotter API
    • 多线程并发查询
    • 输出排序后的子域名列表

2.4 子域名收集工具

  • OneForAll工具

    • GitHub地址:https://github.com/shmilylty/OneForAll
    • 常用命令: 
      # 基本扫描
python3.8 oneforall.py --brute True --alive True --target baidu.com run

# 爆破模式
python3.8 brute.py --target domain.com --word True --wordlist subnames.txt run

# 使用自定义字典
python3.8 brute.py --target domain.com --word True --wordlist /path/to/xxx.txt run
    • 推荐字典:https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt
    • 配置优化
      • 修改config/setting.py
      • 配置config/api.py以启用更多数据源

  • ARL(资产侦察灯塔系统)

    • 功能:综合性资产侦察,不仅限于域名收集
    • 下载地址:https://www.123pan.com/s/qqJfTd-mhrh.html (提取码:dtos)

3. 子公司及股权分布信息收集

3.1 企业信息查询平台

  • 企查查(www.qcc.com)
  • 天眼查(www.tianyancha.com/)
  • 启信宝(www.qixin.com/)
  • 小蓝本(https://sou.xiaolanben.com/)

3.2 关键查询内容

  1. 子公司查询
    • 通过"所属集团"查看集团下所有子公司
    • 导出功能获取完整列表
  2. 关联企业识别
    • 查看同电话企业(通常为关联公司)
    • 分析股份穿透图(控股超过50%的子公司漏洞更可能被SRC收录)
  3. 品牌资产发现
    • 查询企业下的App、小程序
    • 搜索品牌名称可能发现非常规资产

3.3 信息整理要点

  • 分类整理收集到的资产:
    • 主公司及分公司的网站域名
    • 专利品牌和独立系统
    • App资产和微信小程序
  • 评估资产重要性:
    • 区分主资产和边缘资产
    • 重点关注冷门资产(防御可能较弱)

3.4 自动化工具推荐

  • ENScan_GO
    # 基本使用
./enscan -n 小米

# 深度查询(控股100%的子公司,深度2级)
./enscan -n 小米 -invest 100 -deep 2

# 组合查询(控股>51%的公司+供应商+分支机构+ICP备案+邮箱)
./enscan -n 小米 -field icp --hold --supplier --branch --email

4. 网络空间测绘平台

4.1 常用测绘引擎

  • Hunter(https://hunter.io)
  • Censys(https://censys.io)
  • ZoomEye(https://www.zoomeye.org)
  • BinaryEdge(https://www.binaryedge.io)
  • FOFA(https://fofa.so)

4.2 Hunter高级搜索语法

语法 示例 说明
web.title="北京" web.title="登录" 搜索标题包含关键词的网站
web.body="关键词" web.body="网络空间测绘" 搜索正文内容
web.similar="domain:port" web.similar="baidu.com:443" 查找相似特征的资产
web.icon="hash" web.icon="22eeab..." 通过icon哈希查找相同网站
web.tag="标签" web.tag="登录页面" 按资产标签搜索
domain="qianxin.com" domain="example.com" 搜索包含该域名的网站
domain.suffix="qianxin.com" domain.suffix="example.com" 搜索主域名匹配的网站
header.server=="服务" header.server=="Microsoft-IIS/10" 按服务器类型搜索
app.name="应用名" app.name="小米 Router" 按应用名称搜索
app.vendor="厂商" app.vendor="PHP" 按组件厂商搜索
app.version="版本" app.version="1.8.1" 按组件版本搜索

4.3 子域名专项搜索

  • domain_suffix=baidu.com:查找主域为baidu.com的所有资产

4.4 icon图标搜索技巧

  1. 获取目标网站favicon.ico
  2. 计算其哈希值
  3. 在测绘平台使用icon哈希搜索相同框架的网站

三、信息收集工作流程建议

  1. 从SRC公告开始:明确测试范围和规则
  2. 企业架构分析:通过企查查等了解组织架构
  3. 域名资产收集:使用多种技术获取完整域名列表
  4. 网络空间测绘:发现非常规资产和关联系统
  5. 资产分类整理:区分主次,识别薄弱环节
  6. 持续监控更新:建立资产变更监控机制

四、注意事项

  1. 遵守各SRC测试规则,避免未经授权的测试
  2. 敏感信息(如员工邮箱)收集需谨慎使用
  3. 自动化工具使用时注意请求频率,避免被封禁
  4. 子公司资产测试前确认是否在SRC收录范围
  5. 及时更新工具和字典,保持信息收集效率
SRC漏洞挖掘中的多维度信息收集技术指南 一、信息收集的两个维度 1. 单一系统网站的信息收集要素 域名信息 IP地址 端口服务 中间件/框架 目录结构 敏感文件 API接口 第三方组件 2. 企业级多系统信息收集 主站与子站关系 子公司资产 关联品牌资产 移动应用资产 网络拓扑结构 二、高纬度广域下的企业信息收集 1. SRC公告信息收集 测试范围信息 :明确SRC允许测试的资产范围 漏洞活动公告 :关注特殊时期的漏洞奖励活动 龙湖SRC 爱奇艺SRC等案例 2. 域名信息收集技术 2.1 知识产权查询 查询平台 : 企查查(https://www.qcc.com/) 天眼查(https://www.tianyancha.com/) 小蓝本(https://sou.xiaolanben.com/pc) 查询内容 :企业注册的域名、商标等知识产权信息 2.2 JS文件中的域名搜集 工具推荐 :JSFinder(https://github.com/Threezh1/JSFinder) 使用方法 : 2.3 SSL证书中的域名搜集 查询原理 :利用证书颁发机构公开的域名信息 在线查询 :crt.sh网站 自动化脚本 : 脚本功能: 同时查询crt.sh和CertSpotter API 多线程并发查询 输出排序后的子域名列表 2.4 子域名收集工具 OneForAll工具 : GitHub地址:https://github.com/shmilylty/OneForAll 常用命令: 推荐字典 :https://wordlists-cdn.assetnote.io/data/manual/best-dns-wordlist.txt 配置优化 : 修改config/setting.py 配置config/api.py以启用更多数据源 ARL(资产侦察灯塔系统) : 功能:综合性资产侦察,不仅限于域名收集 下载地址:https://www.123pan.com/s/qqJfTd-mhrh.html (提取码:dtos) 3. 子公司及股权分布信息收集 3.1 企业信息查询平台 企查查(www.qcc.com) 天眼查(www.tianyancha.com/) 启信宝(www.qixin.com/) 小蓝本(https://sou.xiaolanben.com/) 3.2 关键查询内容 子公司查询 : 通过"所属集团"查看集团下所有子公司 导出功能获取完整列表 关联企业识别 : 查看同电话企业(通常为关联公司) 分析股份穿透图(控股超过50%的子公司漏洞更可能被SRC收录) 品牌资产发现 : 查询企业下的App、小程序 搜索品牌名称可能发现非常规资产 3.3 信息整理要点 分类整理收集到的资产: 主公司及分公司的网站域名 专利品牌和独立系统 App资产和微信小程序 评估资产重要性: 区分主资产和边缘资产 重点关注冷门资产(防御可能较弱) 3.4 自动化工具推荐 ENScan_ GO : 4. 网络空间测绘平台 4.1 常用测绘引擎 Hunter(https://hunter.io) Censys(https://censys.io) ZoomEye(https://www.zoomeye.org) BinaryEdge(https://www.binaryedge.io) FOFA(https://fofa.so) 4.2 Hunter高级搜索语法 | 语法 | 示例 | 说明 | |------|------|------| | web.title="北京" | web.title="登录" | 搜索标题包含关键词的网站 | | web.body="关键词" | web.body="网络空间测绘" | 搜索正文内容 | | web.similar="domain:port" | web.similar="baidu.com:443" | 查找相似特征的资产 | | web.icon="hash" | web.icon="22eeab..." | 通过icon哈希查找相同网站 | | web.tag="标签" | web.tag="登录页面" | 按资产标签搜索 | | domain="qianxin.com" | domain="example.com" | 搜索包含该域名的网站 | | domain.suffix="qianxin.com" | domain.suffix="example.com" | 搜索主域名匹配的网站 | | header.server=="服务" | header.server=="Microsoft-IIS/10" | 按服务器类型搜索 | | app.name="应用名" | app.name="小米 Router" | 按应用名称搜索 | | app.vendor="厂商" | app.vendor="PHP" | 按组件厂商搜索 | | app.version="版本" | app.version="1.8.1" | 按组件版本搜索 | 4.3 子域名专项搜索 domain_suffix=baidu.com :查找主域为baidu.com的所有资产 4.4 icon图标搜索技巧 获取目标网站favicon.ico 计算其哈希值 在测绘平台使用icon哈希搜索相同框架的网站 三、信息收集工作流程建议 从SRC公告开始 :明确测试范围和规则 企业架构分析 :通过企查查等了解组织架构 域名资产收集 :使用多种技术获取完整域名列表 网络空间测绘 :发现非常规资产和关联系统 资产分类整理 :区分主次,识别薄弱环节 持续监控更新 :建立资产变更监控机制 四、注意事项 遵守各SRC测试规则,避免未经授权的测试 敏感信息(如员工邮箱)收集需谨慎使用 自动化工具使用时注意请求频率,避免被封禁 子公司资产测试前确认是否在SRC收录范围 及时更新工具和字典,保持信息收集效率