渗透测试的信息收集？？？

0x01 渗透的灵魂是信息收集

  作为一个刚入坑的初学者，发现很多大佬在打靶场或者做实战的时候，最厉害的不是他们用了多强的漏洞利用脚本，而是他们总能找到一些别人找不到的入口。

  后来才明白，网络安全圈有一句老话："渗透的本质就是信息收集。"

  今天主要整理一下最近学习的信息收集核心框架，分享一下，欢迎各位大佬和同窗交流。

---

0x02 信息收集到底在干嘛？

  简单来说，信息收集就像是特工在执行任务前踩点。想测试一个网站（资产），不能盲目地瞎猜漏洞。要先摸清它的底细：它开了哪些门（端口）？后院有没有小路（子域名）？保镖是谁（服务器系统）？

  根据我最近的学习，主要可以把信息收集拆成以下几个板块：

📁 信息收集├── 📄 流程（先看思路）├── 📄 真实 IP 信息收集（别打错人）├── 📄 子域收集（寻找薄弱防线）├── 📄 端口收集（看开了哪些门）├── 📄 服务器信息收集（摸清底细）├── 📄 目录扫描（翻箱倒柜）└── 📄 自动化收集（解放双手）

---

0x03 七大板块拆解

1. 流程

  很多人一上来就掏出扫描工具一顿狂轰滥炸，这是不对的。

  正确的流程应该是：

1. 确认目标是谁，拿到一个域名（如 example.com），先确认哪些资产是合法的。
2. 找真实 IP（防止打到 CDN 上）。
3. 扩充资产（子域名、旁站、C 段）。
4. 深入打探（端口、目录、指纹）。
5. 最后才是漏洞挖掘。

---

2. 真实 IP 信息收集

  现在很多网站都用了 CDN（内容分发网络，可以理解为替身）。如果直接攻击 CDN 的 IP，其实是在打腾讯云、阿里云或者网宿的服务器，根本碰不到目标网站，还会被安全设备直接封锁。

  核心任务： 绕过 CDN，找到目标网站真正的外网真实 IP。

先判断是否存在 CDN

  使用多地 ping 工具，如果不同省份解析出的 IP 全都不一样，基本可以确定使用了 CDN；如果全国各地解析出来都是同一个 IP，那大概率就是真实 IP。

a. 通过历史 DNS 记录查询

  原理： 网站启用 CDN 前的 DNS 记录可能留存，可以查到历史真实 IP。

  常用工具：

• ViewDNS.info：https://viewdns.info/iphistory/
• 微步在线：https://x.threatbook.cn/

b. 子域名突破

  原理： 很多站点不会给所有子域名都套 CDN，它们往往部署在同一个机房甚至同一台服务器上，子域名的 IP 往往就是主域名的真实 IP 段。

c. 空间安全搜索引擎

  原理： 通过搜索语法找到与目标域名绑定的真实 IP。

  Fofa 常用语法：

domain="example.com" && is_domain=true
cert="example.com" && port="80"

  Shodan 常用语法：

hostname:"example.com"
ssl:"example.com"

d. 邮件系统

  原理： 网站发送的验证码、通知邮件中，邮件头会泄露服务器真实 IP。

  操作步骤：

1. 注册账号或发起找回密码，触发目标站发送邮件。
2. 查看邮件原始内容（邮件客户端 → 更多 → 显示原始邮件）。
3. 查找 Received: from 字段后的 IP，排除邮件服务商 IP 后验证。

---

3. 子域收集

  主站通常是安全团队的重点保护对象，代码经过反复审计。但企业的边缘子域名（测试环境、内部管理系统）往往是安全的重灾区。

  核心任务： 把子域名全找出来，从最薄弱的入口下手。

子域爆破 / 枚举

  拿一个几十万行的字典（如 admin、test、oa、api），拼在主域名前面，去问 DNS 服务器："这个域名存在吗？"

  核心工具： Layer 子域名挖掘机、Subfinder、Amass

搜索引擎语法（Google Hacking）

  在 Google 中输入 site:target.com，Google 会把抓取到的所有该域名子域名列出来。还可以进一步过滤：

site:target.com inurl:admin

  这样可以直接找带有 admin 关键字的子域页面。

---

4. 端口收集

  每一个 IP 地址都有 65535 个"房间"（端口）。Web 服务通常跑在 80 或 443 端口。

  核心任务： 看看有没有其他端口开放。比如 21（FTP）、22（SSH）、3306（MySQL 数据库）。如果这些服务使用了弱口令，就可能直接进入。

  核心工具： Nmap

  基础命令：

nmap -sV -p- 192.168.1.1

  参数说明：

• -p-：扫描全部 1-65535 个端口（不加则只扫常用的 1000 个）。
• -sV：探测服务版本。不仅查出端口开放情况，还能识别出如 Apache 2.4.41 这样的具体版本号，方便后续查找对应的 CVE 漏洞。

---

5. 服务器信息收集（指纹识别）

  摸清对方的底细：操作系统是 Windows 还是 Linux？Web 服务器是 Apache、Nginx 还是 IIS？后端是 PHP 还是 Java？

  核心任务： 掌握了这些信息，才能针对性地查找对应的漏洞。

浏览器插件

  推荐 Wappalyzer 或 WhatRuns，装在浏览器上，访问目标网站，可以直接显示出该网站使用的语言、中间件、数据库等信息。

查看 HTTP 响应头

  用 Burp Suite 抓包，查看服务器返回的 Server 字段（如 Server: nginx/1.18.0）或 X-Powered-By 字段（如 PHP/7.4.3）。虽然管理员可以屏蔽这些信息，但很多时候并没有做这个配置。

---

6. 目录扫描

  网站就像一栋楼，有些房间是公开的（首页），有些房间贴着"闲人免进"（后台管理页、备份文件、敏感目录）。

  核心任务： 用字典去碰撞，把网站隐藏的后台路径、backup.zip 这类备份文件爆破出来。经常有粗心的管理员把源码备份直接放在网站根目录下，可以直接下载。

Dirsearch

  基于 Python 的命令行工具，速度快，内置字典丰富。

dirsearch -u http://target.com -e php,txt,zip

  -e 参数用于指定扫描特定后缀的文件。

Gobuster / Gf

  多线程性能高，适合大批量扫描任务。

核心痛点： 目录扫描的成败 90% 取决于字典的质量。

---

7. 自动化收集

  如果每次都要手动开 Nmap、Subfinder、Dirsearch，不仅效率低，各工具之间的数据也不互通。因此诞生了"一键式"自动化信息收集脚本与平台。

OneForAll

  专门针对子域名的自动化工具，会同时从证书透明度日志、各大搜索引擎、DNS 爆破等几十个渠道收集子域名，最后去重、存活检测，输出结果非常干净。

ARL 资产侦察灯塔

  部分老版本已停止维护，但依然是很多团队自建的资产管理平台。通过 Web 界面输入任务目标，可自动完成子域发现、端口扫描、服务识别等全流程，结果直观易读。

---

0x04 总结

  作为初学者，个人觉得信息收集就像是在拼拼图。收集到的信息越多，这幅图就越完整，漏洞藏在哪里也就一目了然了。