信息收集的艺术：全面渗透测试资产收集指南<\/h1>

前言<\/h2>
信息收集远不只是简单地查找子域名、扫描目录和端口。本文将系统性地介绍信息收集的完整流程和方法，帮助您掌握信息收集的真正艺术。<\/p>

信息收集流程概述<\/h2>

自动化信息收集阶段<\/strong> - 使用工具自动进行初步信息收集<\/li>
资产发现阶段<\/strong> - 收集组织信息、主域名和子域名<\/li>
资产扩展阶段<\/strong> - 收集端口和C段信息<\/li>
资产梳理阶段<\/strong> - 进行存活检测和指纹识别<\/li>
自动化扫描阶段<\/strong> - 使用漏洞扫描器测试<\/li>

重点目标针对收集阶段<\/strong> - 对关键资产进行深度信息收集<\/li> <\/ol>
[0] 自动化信息收集阶段<\/h2>
在手工信息收集前，建议使用自动化工具快速进行初步信息收集，与手工收集相互补充。<\/p>
推荐工具<\/strong>：<\/p>

ARL（尤其推荐其文件泄露功能）<\/li>
灯塔（需使用第三方备用库）<\/li> <\/ul>
[1] 资产发现阶段<\/h2>
组织结构收集<\/h3>
适用对象<\/strong>：大型集团、企业、政党单位、高校等结构复杂的组织<\/p>
作用<\/strong>：<\/p>

全面收集所有子公司，扩大攻击面<\/li>
采用自下而上或自上而下的攻击策略<\/li>
发现内网横向移动的机会<\/li> <\/ol>
收集方法<\/strong>：<\/p>

股权收集法<\/strong>：<\/p>

使用爱企查查看股权穿透图<\/li>
记录股权占比>50%的子公司名称（保存为company.txt）<\/li> <\/ul> <\/li>

关键人物收集法<\/strong>：<\/p>

从法人代表入手查找关联公司<\/li>
从高管入手查找关联公司<\/li> <\/ul> <\/li> <\/ol>
主域名收集<\/h3>
使用组织结构收集得到的company.txt，进一步收集各公司的主域名。<\/p>
方法<\/strong>：<\/p>

ICP备案查询<\/strong>：<\/p>

官网查询接口（适合子公司少的情况）<\/li>
第三方程序查询接口（适合大型目标，如icpsearch工具）<\/li> <\/ul> <\/li>

小蓝本查询<\/strong>：<\/p>

通过知识产权板块获取ICP备案信息<\/li> <\/ul> <\/li> <\/ol>
结果处理<\/strong>：
使用正则表达式提取域名：([a-zA-Z0-9-]+\.)+[a-zA-Z]{2,}<\/code><\/p>
子域名收集<\/h3> 1. 网络测绘引擎（以FOFA为例）<\/strong><\/p> 基本语法：<\/p> domain=<\/span>"主域名"<\/span> ||<\/span> cert=<\/span>"公用名"<\/span> ||<\/span> cert=<\/span>"组织名1"<\/span> ||<\/span> cert=<\/span>"组织名2"<\/span> <\/span><\/span><\/code><\/pre>技巧<\/strong>：<\/p> 同时使用domain和cert查询语法可发现更多资产<\/li> 手动查看HTTPS站点证书，获取更多公用名和组织名<\/li> 开启"all"模式查询历史记录（需会员）<\/li> 批量处理domain.txt文件进行查询<\/li> <\/ul> 2. 英文证书查询（crt.sh）<\/strong><\/p> 使用q模式（精准）或o模式（模糊）查询<\/li> 批量提取公用名（通常是域名或子域名）<\/li> <\/ul> 3. OneForAll工具<\/strong><\/p> 集成多种子域名收集方法<\/li> 需配置各种API以发挥最大功效<\/li> <\/ul> 格式处理<\/strong>：使用脚本将混乱的URL格式分离为：<\/p> subdomain.txt - 纯子域名<\/li> url.txt - 带协议头的URL<\/li> ip.txt - 纯IP地址<\/li> <\/ul> [2] 资产扩展阶段<\/h2> 端口收集<\/h3> 对收集到的ip.txt进行全端口扫描：<\/p> fscan.exe -hf ip.txt -t 3000<\/span> -p 1-65535 -num 100<\/span> -np -o result.txt <\/span><\/span><\/code><\/pre>结果处理<\/strong>：使用fscanOutput.py脚本对扫描结果进行分类整理。<\/p> C段收集<\/h3> 适用场景<\/strong>：大型目标通常购买整个C段IP<\/p> 收集方法<\/strong>：<\/p> 使用Eeyes工具根据子域名整理C段： Eeyes -l subdomain.txt <\/span><\/span><\/code><\/pre><\/li> 手动选择存活IP多的C段保存为c.txt<\/li> 合并ip.txt和c.txt为ip_c.txt<\/li> 进行全端口扫描<\/li> <\/ol> HOST碰撞<\/h3> 步骤<\/strong>：<\/p> 批量解析subdomain.txt，记录无法解析的域名<\/li> 使用这些域名与ip_c.txt进行HOST碰撞<\/li> <\/ol> 工具推荐<\/strong>：<\/p> HostCollision<\/li> Hosts_scan<\/li> <\/ul> [3] 资产梳理阶段<\/h2> 测活+指纹识别<\/h3> 步骤<\/strong>：<\/p> 合并url.txt和带协议头的ip地址为web.txt<\/li> 去重处理<\/li> 使用指纹识别工具同时进行存活检测<\/li> <\/ol> 推荐工具<\/strong>：<\/p> TideFinger：TideFinger -uf web.txt -nobr -nopoc<\/code><\/li> EHole：ehole.exe finger -l web.txt<\/code><\/li> <\/ul> [4] 自动化扫描阶段<\/h2> 在深入信息收集前，可先批量运行漏洞扫描器：<\/p> 推荐工具<\/strong>：<\/p> Nuclei：nuclei.exe -list test.txt -o output.txt<\/code><\/li> Afrog：afrog -T urls.txt<\/code><\/li> AWVS：使用Python脚本批量添加目标<\/li> Xray： # 批量扫描<\/span> <\/span><\/span>python xray.py -r test.txt <\/span><\/span># 爬取单个目标<\/span> <\/span><\/span>xray.exe webscan --basic-crawler http:\/\/xxxx.com\/ --html-output output-a.html <\/span><\/span># 与Burp联动<\/span> <\/span><\/span>xray.exe webscan --listen 127.0.0.1:7777 --html-output output-b.html <\/span><\/span><\/code><\/pre><\/li> Goby<\/li> <\/ul> [5] 重点目标针对收集阶段<\/h2> 架构信息收集<\/h3> 反向代理<\/strong><\/p> 识别：Wappalyzer浏览器插件<\/li> <\/ul> <\/li> 负载均衡<\/strong><\/p> 识别：lbd工具（Kali自带）<\/li> <\/ul> <\/li> 站库分离<\/strong><\/p> <\/li> CDN<\/strong><\/p> 识别：多地ping测试（17ce）<\/li> 绕过方法：全球ping（ipip.net）<\/li> 从子域名入手<\/li> 查找历史DNS记录（IP138）<\/li> 使用接口查询（Get-site-ip）<\/li> 使用反向邮件<\/li> FuckCDN工具<\/li> 利用SSRF漏洞<\/li> phpinfo.php探针<\/li> <\/ul> <\/li> <\/ul> <\/li> WAF<\/strong><\/p> 识别：wafw00f工具或视觉分析<\/li> <\/ul> <\/li> <\/ol> 源码信息收集<\/h3> CMS识别<\/strong><\/p> 工具：云悉、360观星<\/li> <\/ul> <\/li> 闭源售卖源码查找<\/strong><\/p> <\/li> 源码泄露<\/strong><\/p> index of目录遍历<\/li> 工具： GitHack<\/li> SvnHack<\/li> ds_store_exp<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 网站基本信息收集<\/h3> 语言<\/strong>：Wappalyzer<\/li> 数据库<\/strong>：Wappalyzer或FOFA<\/li> Web容器<\/strong>：Wappalyzer或FOFA<\/li> 操作系统<\/strong>：大小写测试或Ping TTL值分析<\/li> <\/ol> 网站深度信息收集<\/h3> 目录扫描<\/strong><\/p> 工具： FUFF（推荐）<\/li> 7kbscan-WebPathBrute<\/li> dirsearch（Kali自带）<\/li> <\/ul> <\/li> <\/ul> <\/li> JS接口收集<\/strong><\/p> 使用浏览器控制台脚本下载所有JS文件<\/li> 提取JS中的API接口<\/li> 工具： JSfinder<\/li> packer-fuzzer<\/li> URLfinder<\/li> <\/ul> <\/li> <\/ul> <\/li> 快照<\/strong>：网站时光机（Wayback Machine）<\/p> <\/li> 插件信息<\/strong>：Wappalyzer<\/p> <\/li> 第三方接口信息<\/strong>：Wappalyzer<\/p> <\/li> 旁站<\/strong><\/p> <\/li> 端口服务<\/strong><\/p> 工具： nmap（Kali自带）<\/li> railgun（推荐，速度快）<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 网盘信息收集<\/h3> GitHub搜索<\/strong><\/p> 语法示例： in:name test <\/span><\/span>in:description test <\/span><\/span>stars:>3000 test <\/span><\/span>site:Github.com smtp <\/span><\/span>site:Github.com password <\/span><\/span><\/code><\/pre><\/li> 监控工具：云绘监控<\/li> <\/ul> <\/li> 其他网盘<\/strong>：GitLab、码云、语雀等<\/p> <\/li> 工具<\/strong>：<\/p> gitdorks_go<\/li> GitDorker<\/li> <\/ul> <\/li> <\/ol> 社工信息收集<\/h3> 主要依赖人工查找，关注：<\/p> 域名服务商<\/li> 服务器供应商<\/li> 网站管理员<\/li> 开发人员信息<\/li> <\/ul> Google语法示例<\/strong>：<\/p> site:baidu.com ext:php inurl:? <\/span><\/span>site:openbugbounty.org inurl:reports intext:"baidu.com"<\/span> <\/span><\/span>site:"baidu.com"<\/span> ext:log | ext:txt | ext:conf <\/span><\/span>inurl:url=<\/span> | inurl:return=<\/span> | inurl:next=<\/span> site:baidu.com <\/span><\/span><\/code><\/pre>小程序信息收集<\/h3> 使用安卓模拟器或Burp Suite抓包分析<\/li> 反编译源码查找泄露信息<\/li> <\/ol> APP信息收集<\/h3> 外在分析<\/strong>：<\/p> 抓包分析Web资产<\/li> <\/ul> 内在分析<\/strong>：<\/p> 查壳工具（apkscan）<\/li> 安卓信息提取器（AppInfoScanner）<\/li> 反编译工具（APKEditor）<\/li> <\/ol> 总结<\/h2> 信息收集是一个灵活的过程，关键在于学习如何层层深入收集目标信息。本文重点介绍了资产发现与扩展的方法，对重点资产的深度收集也有简要提及。掌握这些技巧，您将能够在渗透测试中更有效地发现攻击面。<\/p>

信息收集的艺术：全面渗透测试资产收集指南<\/h1>

前言<\/h2> 信息收集远不只是简单地查找子域名、扫描目录和端口。本文将系统性地介绍信息收集的完整流程和方法，帮助您掌握信息收集的真正艺术。<\/p>

[1] 资产发现阶段<\/h2>

[2] 资产扩展阶段<\/h2>

[3] 资产梳理阶段<\/h2>

[5] 重点目标针对收集阶段<\/h2>

前言<\/h2>
信息收集远不只是简单地查找子域名、扫描目录和端口。本文将系统性地介绍信息收集的完整流程和方法，帮助您掌握信息收集的真正艺术。<\/p>