网络安全测试 · 信息收集(一)

📅 2026/7/17 21:35:42 👁️ 阅读次数 📝 编程学习
网络安全测试 · 信息收集(一)

🔍 网络安全测试 · 信息收集(一)

核心理念:信息收集不是一步到位的清单罗列,而是贯穿渗透测试全过程的动态循环。每获得一个新线索(一个接口、一个报错、一个邮箱),都意味着下一轮收集的开始。收集到的任何信息,只要能让你推进下一步渗透,就算完成了一次阶段性的信息收集。


1. 企业背景与 ICP 备案

1.1 企业信息查询(授权前提下)

优先从工商信息平台入手,摸清目标企业股权结构、关联公司、名下资产,为后续扩大攻击面打下基础。

平台功能链接
天眼查企业背景、司法风险、对外投资https://www.tianyancha.com
企查查企业查询、实际控制人、关联图谱https://www.qichacha.com
爱企查百度旗下,免费基础查询https://aiqicha.baidu.com
小蓝本营销拓客系统(侧重企业大数据)https://www.xiaolanben.com

重点关注

  • 企业名下的域名、子公司、分支机构

  • 邮件服务器地址(常用作后续爆破目标)

  • 微信小程序、APP、公众号——这类资产往往防护较弱,易成为突破口

1.2 ICP 备案查询

查询域名背后的主办单位及备案号,常用于资产归属确认。

  • 工信部官方(最权威):https://beian.miit.gov.cn

  • 站长工具:https://icp.chinaz.com

  • 第三方备案查询:http://www.beianx.cn (非官方,可作为辅助)


2. 搜索引擎高级用法(Google Hacking)

利用搜索引擎抓取敏感文件、后台入口、错误信息。以下语法基于 Google/Bing,百度部分支持。

语法功能说明举例
site:限定网站site:example.com
intitle:标题包含关键词intitle:"index of"
inurl:URL 中包含关键词inurl:admin
intext:正文包含关键词intext:"password"
filetype:搜索特定文件类型filetype:sqlfiletype:bak
cache:查看缓存快照(可能失效)cache:example.com
related:查找类似网站related:example.com
*通配符代替任意词"login * portal"
-排除排除包含某词的结果site:example.com -www
OR/|逻辑或"admin" OR "login"
" "引号精确匹配短语"Powered by WordPress"
..数字范围搜索数字区间"port 3306..3389"

实用组合示例

  • site:example.com inurl:upload查找上传入口

  • site:example.com filetype:pdf "confidential"寻找泄漏的机密 PDF

  • intitle:"index of" "parent directory"发现目录浏览漏洞


3. 子域名收集(扩大攻击面)

主站防御通常坚固,子域、边缘系统往往更薄弱。不论能否直接访问,先收录下来

3.1 网络空间搜索引擎

工具地址
FOFAhttps://fofa.info
鹰图 (奇安信)https://hunter.qianxin.com
360 Quakehttps://quake.360.net

3.2 在线子域名查询

工具地址
站长工具子域名查询_子域名大全 - 站长工具
IP138IP属地 IP属地查询 IP归属地查询 IP地址归属地查询
DNSdumpsterhttps://dnsdumpster.com

3.3 主动枚举工具(推荐)

  • OneForAll:国产子域名收集神器

  • Subfinder:轻量快速被动枚举

  • Amass:OWASP 项目,深度枚举

  • 证书透明度 (CT):https://crt.sh 可查询 TLS 证书中包含的域名

提示:收集到的子域名可进一步进行存活探测、端口扫描和指纹识别。


4. IP 反查域名 & 旁站发现

4.1 IP 反查域名

当你只知道一个 IP,需要找出它上面绑定了哪些域名。

  • 爱站 DNS:https://dns.aizhan.com

  • 站长工具:https://ip.chinaz.com

  • FOFA语法:ip="x.x.x.x"

  • Shodan:https://www.shodan.io

4.2 旁站(同 IP 站点)

旁站是指在同一台服务器(同一个 IP)上绑定的其他域名。当你拿下一个站点后,通过旁站攻击可以横向获取同服务器的其他网站权限。

  • 上述所有 IP 反查工具均可直接用于旁站收集。

  • 也可以通过FOFA搜索:ip="目标IP",查看该 IP 上的所有 Web 资产。

旁站 ≠ 目录扫描

  • 旁站:同 IP 不同域名(通过 IP 反查实现)

  • 不同端口服务:同一 IP 的不同端口,可用nmap扫描

  • 目录/路径扫描:使用御剑、dirsearch、gobuster 等工具爆破 Web 路径 三者属于不同维度的信息收集,需要分别对待。


5. C 段扫描(邻近资产发现)

同一 C 段(/24)中可能跑着数据库服务器、内部管理系统、测试机等防护薄弱的“沉默资产”。

常用工具

  • Nmap扫描示例:nmap -sn 192.168.1.0/24(主机发现)nmap -sV -p 1-65535 192.168.1.100-200(服务版本探测)

  • Masscan:大规模快速端口扫描

  • FOFA语法:ip="111.180.139.0/24"

  • Shodan搜索:net:111.180.139.0/24

扫描后分析

  • 若发现开放3306(MySQL)、6379(Redis)、27017(MongoDB)等数据库端口,立刻进行弱口令或未授权访问测试。

  • 发现22(SSH)、3389(RDP)可尝试凭证爆破。


6. Whois 信息查询

获取域名的注册者邮箱、联系电话、注册商、DNS 服务器等信息,可用于社会工程学或反向查找该注册者拥有的其他域名。

  • 站长工具:https://whois.chinaz.com

  • 爱站 Whois:https://whois.aizhan.com

  • 命令行whois example.com

  • ICANN Lookup:https://lookup.icann.org

关键利用点

  • 注册邮箱反查 → 发现该邮箱注册的所有域名(使用反向 Whois 服务)

  • 联系电话/地址 → 组合生成密码字典

  • 私有 Whois 保护?尝试查看历史 Whois 记录(如 whoxy.com)


7. 信息收集永不停止

真正有效的渗透测试,信息收集会贯穿全过程。以下是在获得初始访问或部分信息后,需要持续收集的方向:

阶段收集内容方法 / 工具
子域名初步指纹识别Wappalyzer、WhatWeb、BuiltWith
端口扫描后服务、中间件、数据库版本Nmap-sV脚本,amap
Web 浏览时隐藏目录、备份文件dirsearch、gobuster、御剑
抓包/JS 分析API 端点、子域、内部 IP浏览器 DevTools,JSFinder,LinkFinder
报错/响应头真实路径、软件版本、服务器内网 IP手动分析
GitHub/网盘源码泄漏、配置文件、硬编码密码GitHub 搜索:org:公司名 password,网盘搜引擎

持续渗透,持续收集,直到达成目标或测试终止。