红队信息收集全面指南

红队信息收集全面指南 一、企业信息收集概述 红队行动中，信息收集是渗透测试的第一步，也是最为关键的阶段。与常规渗透测试不同，红队行动往往只提供公司名称而非具体目标，因此需要从零开始构建攻击面。 信息收集的三个层级 公司级别 ：收集公司域名、子域名、子公司信息和IP资产 IP级别 ：验证IP真实性、端口扫描、漏洞识别 用户级别 ：收集用户名信息，为暴力破解做准备 二、公司级别信息收集 1. 获取目标域名 方法： 直接百度搜索公司名称，查找官网（通常为主域名） 使用企业信息查询平台： 企查查 启信宝 天眼查 爱企查 WHOIS查询： 站长工具WHOIS查询 域名备案查询： 工信部备案查询 站长工具备案查询 通过APP获取公司域名 利用股权穿刺图查找子公司域名 技巧： 在FOFA、ZoomEye、Shodan等搜索引擎中搜索公司名称，可能发现已更换但IP仍在使用的域名 通过发现的IP段进行C段扫描，可能找到主域名 2. 获取目标子域名 推荐工具： OneForAll ：自动化程度高，收集全面 ksubdomain ：高效子域名爆破工具 ShuiZe_ 0x727 ：集成化工具，使用方便 注意事项： 对APP进行抓包分析，获取可能遗漏的域名信息 准备自定义字典应对特殊命名规则的子域名 3. 获取目标IP信息 IP验证工具： 全球Ping测试 WebPCC ：全球节点Ping测试 IP与域名关联工具： Eeyes ：将域名转化为IP并整理C段 C段扫描工具： fscan ：内外网通用扫描器 ServerScan EHole ：重点资产识别工具 CDN绕过技巧： 通过子域名查找真实IP（部分子域名可能未使用CDN） 通过网站favicon.ico的hash值在FOFA等平台搜索 查询SSL证书信息 历史DNS记录查询 通过邮件服务器查找真实IP 三、IP级别信息收集 1. Web资产识别 工具推荐： WebAliveScan ：Web存活判断 EHole ：重点资产识别 2. Web框架识别 方法： 在线工具： 框架识别工具1 框架识别工具2 浏览器插件： Wappalyzer（Firefox/Chrome） 手动分析： 检查JS文件中泄露的框架信息 分析网站图标、错误页面、底部版权信息 开发者工具中查看响应头、Cookie等特征 3. 路径收集 工具推荐： dirsearch DirBuster（Kali自带） Burp Suite自定义字典爆破 技巧： 收集行业特定字典（如政府、教育等） 分析网站命名规律后定制字典 4. 敏感信息收集 JS敏感信息： JSFinder 手动搜索JS文件中的"password"、"username"等关键词 网站内容敏感信息： 仔细阅读网站公开内容，特别是公告、新闻等 查找可能泄露的邮箱、账号密码等信息 关注收购计划、合作伙伴等可能扩大攻击面的信息 5. 后台收集技巧 方法： 搜索相同框架的文档，查找默认后台地址 分析网站文件命名规律，推测后台路径 检查网页源代码中的管理接口 在JS中搜索"admin"、"system"等关键词 修改URL路径（如将"user"改为"admin"） 四、用户级别信息收集 用户名收集方法 网站直接收集 ： 查找网站上的邮箱、联系方式 根据公司名称和数字生成用户名字典 搜索引擎技巧 ： 使用Google语法搜索公司相关xlsx等文档 site:company.com filetype:xlsx 代码托管平台 ： GitHub搜索公司名称，查找可能泄露的信息 招聘网站 ： 查找公司招聘信息，获取面试官姓名和电话 组织架构图 ： 搜索公司内部架构图，获取领导姓名 社交媒体 ： 微信公众号、微博等平台搜索公司信息 百度图片搜索 ： 通过图片搜索可能泄露的用户名信息 常用用户名字典 ： 收集行业通用用户名格式（如首字母+数字） 五、APP信息收集 工具推荐： AppInfoScanner ：APP敏感信息收集 其他方法： 百度网盘查询，查找可能泄露的APP源码 APP抓包分析，获取API接口和域名信息 六、总结与进阶技巧 信息关联分析 ：将收集到的域名、IP、用户名等信息交叉关联，构建完整攻击面 供应链攻击 ：关注目标公司的供应商，特别是小型供应商提供的系统 持续监控 ：设置自动化工具持续监控目标的新增资产 社会工程学 ：结合收集到的个人信息进行针对性钓鱼 重要提醒： 云上资产攻击需谨慎，容易触发告警 CDN后的真实IP获取是突破关键 信息收集的全面性直接影响后续攻击成功率 通过系统化的信息收集，红队可以构建完整的攻击面，为后续渗透测试奠定坚实基础。记住，在红队行动中，耐心和细致的信息收集往往比技术本身更重要。