信息收集总结

一、信息收集简述

1.什么是信息收集？

        信息收集（Information Gathering）是指在渗透测试或攻防过程中，通过各种方式和工具获取目标相关信息的过程。俗话说：“知己知彼，百战百胜”，在渗透测试中，信息收集就像战争中的情报工作，属于“深入敌后”的前期准备环节。

在开始渗透之前，测试人员需要对目标进行信息收集，包括：

• 域名、IP 地址、子域名

• 开放的端口和服务

• 网站指纹、服务器类型、框架版本

• 人员信息、邮箱、账号等外部情报

通过这些信息，可以：

1. 找出目标的漏洞和弱点；
2. 为后续攻击步骤提供依据；
3. 提高渗透测试成功率。

如果情报收集有严重错误，就像战争中情报失误一样，可能导致任务失败甚至全盘崩溃，可见其重要性。

2.信息收集的原则

(1)准确性原则

        该原则要求所收集的信息必须真实可靠，是信息收集的最基本要求。为此，信息收集者需要反复核实和检验收集到的信息，力求将误差降到最低。

(2)全面性原则

        该原则要求收集的信息要广泛、完整，以全面反映管理活动和决策对象的发展情况，为科学决策提供保障。虽然实际信息不可能绝对完整，但应尽可能广泛收集，以便在信息不完备的情况下仍能做出合理决策。

(3)时效性原则

信息的价值取决于其提供的及时性。信息必须迅速、及时地送达使用者才能发挥作用，尤其是决策所需的信息应是“事前”的，而非“事后”的补充，保证决策有效性。

3.信息收集的分类

(1)主动信息收集

        主动信息收集是指通过直接访问或扫描目标系统的方式获取信息。这类行为会与目标系统产生直接交互，因此可能会在目标系统日志中留下痕迹。

特点：

• 需要与目标直接通信

• 有较高风险暴露痕迹

• 能获取到更深入的目标信息

例如：就像我晚上偷偷跑去小明家里，查看他家用的是什么品牌保险柜，并把这些信息记录下来。但小明家可能有摄像头，于是我的行为就被记录下来了。

(2)被动信息收集

        被动信息收集是指通过公开渠道或第三方资源获取信息，不与目标系统直接交互，从而尽量避免暴露痕迹。被动信息收集通常不会在目标系统日志中留下任何记录。

特点：

• 不与目标直接交互

• 风险低，隐蔽性高

• 获取的信息往往有限，但足够有价值

例如：就像小明曾在某个论坛上留下了自己的生日、年龄、学号等信息，我可以根据这些信息生成密码字典来尝试破解他家保险柜的密码。在这个过程中，小明根本不知道我正在收集关于他的信息。

(3)SRC的漏洞收集范围

目标资产信息搜集的程度，决定渗透过程的复杂程度。

目标主机信息搜集的深度，决定后渗透权限持续把控。

渗透的本质是信息搜集，而信息搜集整理为后续的情报跟进提供了强大的保证。

二、资产探测

1.Whois查询

        Whois 查询是一种基于传输协议的域名信息查询方式，常用于信息收集阶段。通过 Whois 查询，可以获取域名相关的详细资料，例如域名对应的 IP 地址、注册所有者的姓名、手机号、邮箱、域名注册商信息、注册时间及到期时间等。

• 站长之家：http://whois.chinaz.com
• 爱站：https://whois.aizhan.com/
• 中国互联网信息中心：http://ipwhois.cnnic.net.cn/index.jsp

        利用查询到网站管理员手机号码、姓名、邮箱通过 Whois反查查询出网站管理员所注册过的域名，可 以对注册的其他域名进行漏洞挖掘。

2.备案信息查询

        若网站搭建在国内（中国大陆），根据法律法规，必须在工信部进行备案（ICP备案/公安备案），通过备案信息查询，可以获取到网站的主办单位、负责人姓名、备案号、联系方式、接入服务商等信息。

• 天眼查：http://www.tianyancha.com
• ICP备案查询网：https://beian.miit.gov.cn/#/Integrated/recordQuery
• 站长工具：https://icp.chinaz.com/

3.DNS查询

        DNS 作为域名和 IP 地址相互映射的分布式数据库，使用户无需记忆复杂的 IP 地址即可通过域名访问网站。通过 DNS 查询，可以获取目标站点的解析记录，如 A 记录、MX 记录、CNAME 记录等，从而掌握网站的服务器 IP、邮件服务器及相关域名信息。

• 站长工具：https://tool.chinaz.com/dns/

4.子域名收集

        子域名是主域名下的下一级域名，例如 mail.example.com 就是 example.com 的子域名。通过收集子域名，可以了解目标网站的业务架构，如邮件系统、管理后台、测试环境等。

• 站长工具：http://tool.chinaz.com/subdomain/
• 千寻：https://dnsscan.cn.siteindices.com/
• 在线子域名：https://phpinfo.me/domain/

(1)Layer子域名挖掘机

(2)Oneforall(子域名枚举)

(3)搜索引擎(谷歌，百度，fofa，shodan)

(4)Google hacking 语法

5.后台目录收集

后台地址收集方法:

• 通用路径尝试：常见路径如 域名/admin、域名/Admin、域名/user/admin，具有中国特色路径：例如 域名/管理员、域名/系统管理、域名/超级管理。

• 页面链接查找：在网页底部查找“后台登录”或“管理入口”的超链接。

• 搜索引擎辅助：通过关键字搜索后台页面内容，若可直接访问可能存在越权，否则会跳转到管理员登录界面。

• CMS/框架默认路径：根据网站使用的常见 CMS 或框架，尝试其默认后台路径。

• 社工拼接路径：结合网站归属、公司名称或外包公司名称拼接后台地址，例如：baiduadmin、qqadmin、baidu/admin、qq/admin。

(1)御剑后台扫描工具

(2)Dirsearch(python3)

(3)Google 语法

        搜索引擎 site:ppdai.com intitle: “后台|登录|登陆|验证码|管理员|服务系统|系统登录|认证码|验证身份|管理系统|管理后台|管理平台|mgmt|sysadmin|admin|password|login|manage‘’

(4)字典查找法

1.收集常用路径

• 平时养成记录上传地址、后台地址、表单路径的习惯，将这些信息整理成小字典。

• 这样在后续扫描或渗透测试中可以快速调用，提高效率。

2.使用公开字典

• 下载别人整理的常用字典，如后台路径字典、上传目录字典等。

• 可配合扫描工具使用，例如 wwwscan、DirBuster、Dirsearch 等，自动化扫描网站的潜在入口。

3.注意成功率

• 由于后台路径和上传路径通常根据管理员个人习惯随机命名，直接扫出的几率可能不高。

• 但即便成功率低，扫描也有价值：

• • 可能发现上传路径未加限制

• • 或意外获取后台入口

4.实用建议

• 可结合手动尝试、搜索引擎和社工信息进行字典扫描，提高命中率。

• 将扫描到的路径记录整理，为后续攻击或渗透测试做准备。

6.指纹识别

指纹识别是信息收集中的重要环节，旨在获取目标网站的技术特征和环境信息。

• 通过指纹识别，可以收集到网站的 URL 地址、域名信息、子域名、旁站、C 段 IP，以及 HTTPS 相关信息。同时，还能识别目标所使用的操作系统、CMS 系统、服务器类型和中间件等。

• 掌握这些信息后，可以结合已知的 CMS 漏洞、服务器漏洞或中间件漏洞进行针对性攻击，提高渗透测试的效率和成功率。

潮汐：http://sso.tidesec.com/

在线指纹识别Whatweb：http://whatweb.bugscaner.com/look/

Wappalyzer插件:https://www.wappalyzer.com/

7.C段和旁站

C段的概念：

        C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。

旁站的概念：

        旁站指的是同一服务器上的其他网站，很多时候，有些网站可能不是那么容易入侵。那么， 可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话，可以先拿下其他网站的webshell，然后再提权拿到服务器的权限，最后就自然可以拿下该网站了！

• A类地址：10.0.0.0-10.255.255.255
• B类地址：172.16.0.0-172.31.255.255
• C类地址：192.168.0.0-192.168.255.255

在线c段|旁站查询： http://finger.tidesec.com/

在线c段|旁站查询：https://www.webscan.cc/

8.CDN(内容分发网络)

        CDN（Content Delivery Network，内容分发网络）是一种通过分布在不同地理位置的节点，将网站内容就近分发给用户的技术。它主要解决因用户与服务器距离过远或跨运营商网络导致的访问速度慢和网络拥堵问题，同时也可以隐藏源站真实 IP，提高网站的安全性，防止直接攻击。

        对于渗透测试而言，找到目标网站对应的真实 IP 是关键步骤，只有掌握真实 IP，才能对服务器进行有效的渗透或漏洞测试。

(1)多地 Ping

        首先判断目标是否使用了CDN，使用各种多地 ping 的服务，查看对应 IP 地址是否唯一，如果不唯一多半是使用了CDN。

多地Ping 网站有：

• 站长之家超级ping：http://ping.chinaz.com/
• http://ping.aizhan.com/
• http://ce.cloud.360.cn/

(2)查询子域名

        毕竟 CDN 还是不便宜的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。

常用的子域名查找方法和工具：

1.微步在线：https://x.threatbook.cn/

• 提供子域名查询服务，但年费用户每月仅有 5 次查询机会。

2.DNSDB 查询法：https://dnsdb.io/zh-cn/

• 输入 baidu.com type:A 即可收集子域名及对应 IP 信息。

3.Google 搜索

• 使用语法 site:baidu.com -www 可查看除 www 外的其他子域名。

4.子域名挖掘机等工具

• 利用专门的子域名收集工具进行大规模扫描和挖掘。

(3)网络空间引擎搜索法

        常见的有以前的钟馗之眼，shodan，fofa搜索。以fofa为例输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip

(4)内部邮件源ip

        通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping 邮件服务器的域名，就可以获得目标的真实ip。注意：必须是目标自己的邮件服务器，第三方或者公共邮件服务器是没有用的。

(5)常规绕CDN的方法

1.超级ping工具多地ping

2.查询DNS解析记录

3.查询子域名

4.查看敏感文件phpinfo

5.内部邮箱源（比如注册的时候会有注册连接发送到我们的邮件，然后查看邮件全文源代码或邮件标头就可以了）

国外找真实ip的网站：https://get-site-ip.com/

9.端口扫描

"端口"是英文port的意译，可以认为是设备与外界通讯交流的出口。

用NMAP探测操作系统Nmap –O www.hieu.edu.cn

PING 命令

10.SSL证书收集

        SSL证书和我们日常用的身份证类似，是一个支持HTTPS网站的身份证明，SSL证书里面包含了网站的域名，证书有效期，证书的颁发机构以及用于加密传输密码的公钥等信息。

HTTPS证书查询: https://censys.io/

11.其他资产

(1)微信公众号

(2)手机app

(3)自媒体信息收集

阿里大鱼，百家号，微博，抖音，快手，哔哩哔哩，头条号，搜狐等等。

(4)天眼查

(5)Github上搜索厂商域名

(6)页面源代码处信息泄露之接口构造

开局一个登录口

接口请求方式及参数泄露

(7)社工

        关注内部群、员工和客服，打入内部群，往往能获取一手资料；当然，往往客服、内部员工也能提供很多有关于产品的 的信息。

进行社工时要注意分寸和尺度，有的厂商严格禁止社工，需要注意不同厂商的要求。

三、总结

        在渗透测试中，信息收集是比较枯燥乏味的一项工作任务，但也是一项很重要的工作，所收集的信息能直接影响到下一步的渗透思路及效果，所以一定要有耐心和准备好持续长期地完成这一项工作任务。
        在这个时代中，信息收集的工具种类繁多，各式各样，咱们要不断尝试新的软件跟以前使用过的软件作对比，找到最适合自己的最顺手的工具来使用。

情报收集网站：
360：https://ti.360.cn/#/homepage
微步在线：https://x.threatbook.cn/
钟馗之眼：https://www.zoomeye.org/
鹰图：https://hunter.qianxin.com/搜索病毒总数：https://www.virustotal.com/gui/home/search
漏洞平台：https://www.shentoushi.top/