渗透测试第一步:信息收集做得好,漏洞挖到老(第五弹·实战侦察篇)

📅 2026/7/15 22:42:52 👁️ 阅读次数 📝 编程学习
渗透测试第一步:信息收集做得好,漏洞挖到老(第五弹·实战侦察篇)

很多新手上来就掏工具扫漏洞,结果忙活半天一无所获。
真相是:渗透测试70%的功力,都在信息收集阶段。
全文约1900字,阅读约6分钟。这篇教你像侦探一样"踩点"。

一、先讲一个真实故事

去年某SRC平台上,一个新手白帽子提交了一个严重漏洞,拿到了8000元奖金。他用的技术难吗?一点都不难——他只是做了极其细致的信息收集

过程是这样的:

  1. 他发现目标网站的子域名里有一个test-company.xxx.com(测试环境)。

  2. 这个测试环境使用了默认账户密码(admin/123456)。

  3. 登录后台后,他发现系统里存了大量内部员工通讯录,包括高管手机号和邮箱。

  4. 他顺着这些信息,又找到了该公司的企业邮箱登录入口,最终组合出了一条完整的攻击链路。

你看,整个过程中他没有使用任何高端漏洞利用技术。他会的就是:子域名枚举 + 默认密码尝试 + 信息关联分析

这就是信息收集的价值。

二、信息收集到底在收什么?

用大白话说,信息收集就是在正式攻击之前,尽可能多地了解目标。就像侦探破案要先走访现场、调取监控一样。

你需要收集的目标信息包括:

类别具体内容为什么要收
域名/IP主域名、子域名、CDN背后的真实IP确定攻击范围
端口服务开放了哪些端口、跑了什么服务寻找潜在突破口
网站架构用了什么Web服务器、编程语言、数据库针对性地找漏洞
敏感目录后台入口、未授权页面、备份文件捡漏式拿权限
指纹信息CMS版本、框架类型、组件名称搜索已知漏洞POC
人员信息邮箱、手机号、社交账号钓鱼和社会工程学

记住一句话:你收集到的信息越全,后面的渗透就越轻松。

三、新手必学的6大信息收集手段(附工具)

🔍 手段一:子域名收集

子域名就是mail.xxx.comadmin.xxx.com这类。很多时候主站防御严密,但子站(尤其是测试站)漏洞百出。

工具推荐:

  • Layer子域名挖掘机:图形界面,傻瓜式操作,新手首选

  • OneForAll:功能强大,但需要Python环境,适合进阶

手工方法:在Google搜索site:xxx.com -www,也能找到不少子域名。

🔍 手段二:真实IP查找

很多网站用了CDN(内容分发网络),你ping出来的IP不是真实服务器IP。绕过CDN找真实IP,是渗透测试中的重要一环。

常用方法:

  • 查询历史DNS解析记录(网站:DnsDBSecurityTrails

  • 看子域名的IP(子域名可能没用CDN)

  • 通过邮件头信息找IP(让目标给你发一封邮件,查看邮件源码)

🔍 手段三:端口扫描

每个开放的端口都可能是一个"门"。常见的危险端口:

端口服务风险
21FTP匿名登录、弱口令
22SSH弱口令爆破
3306MySQL数据库弱口令、未授权访问
6379Redis未授权访问,可直接拿权限
27017MongoDB未授权访问

工具推荐:Nmap——端口扫描界的"瑞士军刀"。入门命令:

text

nmap -sV -p- 目标IP

-sV探测服务版本,-p-扫描所有端口(1-65535)。

🔍 手段四:网站指纹识别

指纹就是网站的"身份证"——用了什么CMS(WordPress、Discuz)、什么框架(ThinkPHP、Spring Boot)、什么Web服务器(Nginx、Apache)。

知道了指纹,你就能去搜这个版本有什么已知漏洞,直接拿POC打。

工具推荐:

  • Wappalyzer(浏览器插件):打开网页就能看到技术栈

  • WhatWeb(命令行工具):信息更详细

🔍 手段五:敏感目录扫描

网站有很多目录是不对外的,比如后台登录页、phpinfo页面、备份文件压缩包等。扫出来就是捡到宝。

工具推荐:

  • dirsearch:Python写的目录扫描工具,速度快、字典全

  • 御剑:图形界面中文版,新手友好

常用命令(dirsearch):

text

dirsearch -u https://目标网站 -e php,html,txt,zip

🔍 手段六:Google Hacking(谷歌黑客语法)

直接用搜索引擎找敏感信息,是成本最低的信息收集方式。

常用语法:

  • site:xxx.com 密码→ 找目标网站上的"密码"关键词

  • filetype:log 目标域名→ 找日志文件

  • intitle:"后台管理" site:xxx.com→ 找后台入口

  • inurl:phpinfo.php→ 找phpinfo文件(会暴露大量系统信息)

⚠️ 注意:Google Hacking的威力巨大,请务必在合法授权的范围内使用。

四、信息收集的"最小可行流程"(新手照做)

如果你现在面对一个目标完全不知道从哪下手,按这个5步流程来:

  1. 先用Wappalyzer看一眼网站用了什么技术栈(2分钟)

  2. 再用Layer挖一下子域名,把结果保存下来(10分钟)

  3. 用Nmap扫一波端口,看开了哪些服务(5分钟)

  4. 访问所有找到的子域名和端口服务,人工逛一遍,找登录口、上传点、特殊功能(30分钟)

  5. 整理成一份报告,把收集到的所有信息归纳为:域名列表、IP端口列表、网站指纹、发现的敏感入口

完成这5步,你对目标的了解已经超过了80%的新手。

五、信息收集工具大礼包(一键收藏)

工具用途难度
Nmap端口扫描⭐⭐
Layer子域名挖掘机子域名收集
OneForAll子域名收集⭐⭐⭐
Wappalyzer指纹识别
dirsearch目录扫描⭐⭐
御剑目录扫描
SecurityTrails历史DNS查询

写在最后:信息收集是"笨功夫",但最值得下功夫

很多新手有个误区——拿到目标就想直接SQL注入、直接上传木马。结果是什么呢?扫了半天扫不出漏洞,然后灰心丧气。

真正的高手,拿到目标后前半天都在做信息收集。他们把目标摸得透透的,再精准出击,一发入魂

信息收集做得越彻底,后续渗透就越像"开卷考试"。

今天的作业:挑一个你自己拥有的网站(或者你学校/公司的官网,仅限公开信息),按上面的5步流程走一遍,把收集到的信息整理成文档。

相信我,这个习惯会让你受益整个职业生涯。

—— 你的网安实战导师


📌下一期预告:第六弹·漏洞入门——《亲手挖出第一个SQL注入漏洞,其实就这5步》。