渗透测试信息收集全流程：从被动探测到主动挖掘

渗透测试信息收集全流程：从被动探测到主动挖掘

---

前言

信息收集是渗透测试的核心前置环节，目标是通过 "技术 + 业务" 双维度挖掘，最大化攻击面、定位高价值资产、规避合规风险，最终形成可落地的 "攻击面地图"。本笔记整合 "单资产探测、组织级挖掘、工具语法、流程步骤"，覆盖从基础到深层的全流程。

---

一、渗透测试信息收集：基础认知与合规前提

1.1 核心目标

• 技术层：定位真实 IP、开放端口、Web 框架漏洞入口（如未授权后台、SQL 注入点）；
• 业务层：锁定高价值数据（如医院患者病历、学校财务数据）、社工攻击入口（如 IT 运维人员信息）；
• 合规层：严格在授权范围内操作，不破坏业务、不泄露敏感数据。

1.2 合规红线（必须遵守）

1. 书面授权优先 ：需目标方提供《渗透测试授权书》，明确测试范围（域名 / IP / 系统）、时间窗口（如 "每周六 20:00 - 次日 6:00"）、禁止操作（如不得中断服务） ；
2. 禁止越权测试 ：授权测试www.xxx.com则不得探测oa.xxx.com，授权外网则不得渗透内网；
3. 数据安全保护：收集的敏感信息（如员工身份证号、财务表格）需在测试后删除，不得外传。

二、单资产信息收集（网站 / IP）：从表层到深层

针对单个网站或 IP，按 "基础信息→真实 IP→端口服务→Web 指纹→子域名→关联资产" 逐层挖掘，核心是突破 CDN 与防护，定位真实攻击目标。

2.1 基础信息收集（域名 / IP / 部署环境）

信息类型	收集目标	方法与工具
域名结构	一级域名（如xxx.com）、二级域名（如oa.xxx.com）、三级域名（如test.oa.xxx.com）	1. 浏览器直接观察；2. 企查查 / 天眼查搜单位名称看备案域名；3. 空间引擎（Fofa）搜domain="xxx.com"
解析 IP	域名当前解析的 IP（可能是 CDN 节点）	1. 本地命令：ping 域名（Windows）/ping -c 4 域名（Linux）；2. 在线工具：IP138（https://site.ip138.com/）
部署环境	云上（阿里云 / 腾讯云 / AWS）、本地机房、第三方托管	1. IP 反查：whois.aliyun.com查 IP 归属（如阿里云 IP 段120.76.x.x）；2. 响应头：抓包看Server字段（如AliyunOSS）
CDN 检测	判断是否使用域名分发（隐藏真实 IP）	1. 多地 Ping：https://tool.chinaz.com/ping/ 选 "中国香港、美国" 节点，IP 不一致则有 CDN；2. 工具：CDNDetector（在线检测）

2.2 真实 IP 获取（突破 CDN 关键重要）

CDN 会隐藏真实 IP，需通过以下方法绕过：

方法	原理	操作步骤
多地节点 Ping	CDN 未覆盖小众地域（如海外、偏远地区），节点可能指向真实 IP	用 "https://ping.chinaz.com/" 选择 "中国台湾、新加坡" 节点，若某 IP 唯一，大概率为真实 IP
DNS 历史记录查询	CDN 部署前的解析记录留存真实 IP	工具：ViewDNS（https://viewdns.info/）、DNSlytics（https://dnslytics.com/）、微步在线（[x.threatbook.cn](https://x.threatbook.cn/)）
SSL 证书溯源	真实服务器 SSL 证书绑定真实 IP（CDN 证书多为泛域名）	1. 浏览器点地址栏小锁→"证书"→"使用者备用名称"；2. Censys（https://search.censys.io/）搜证书指纹找关联 IP
邮件头分析	目标邮件服务（如info@xxx.com）的Received字段含真实 IP	1. 发送测试邮件到目标邮箱；2. 查看邮件原文（QQ 邮箱 "更多"→"查看邮件原文"），找Received: from [真实IP]
边缘节点漏洞利用	CDN 配置漏洞（如缓存穿透），直接请求真实服务器	抓包修改Host头：Host: xxx.com:8080（非 80/443 端口），可能返回真实 IP 响应

2.3 开放端口与对应服务（攻击入口定位）

获取真实 IP 后，扫描端口（端口对应服务，服务对应漏洞风险），重点关注高危端口：

端口	服务类型	风险点与利用场景	扫描工具
22	SSH（远程登录）	弱口令 / 密钥泄露可直接拿服务器权限（如root/123456）	Nmap、Masscan、Fscan
21	FTP（文件传输）	未授权访问可下载源码 / 敏感文档，上传恶意文件	Nmap（nmap -p 21 -sV IP）
80/443	HTTP/HTTPS	Web 漏洞（SQL 注入、XSS、框架漏洞如 Struts2），管理后台入口	Burp Suite、WhatWeb
3389	RDP（Windows 远程桌面）	弱口令可直接登录（如Administrator/123456），常见于内网服务器	Nmap、Hydra（弱口令爆破）
3306	MySQL（数据库）	未授权访问 / 弱口令可读取用户数据（如账号密码表）	Navicat、Nmap
6379	Redis（缓存）	未授权访问可写入公钥 / 计划任务，直接拿服务器权限（高危！）	Redis-cli、Nmap
8080	Tomcat/Jetty	管理后台（/manager/html）弱口令可部署恶意 war 包	Burp Suite、Nmap
11211	Memcached（缓存）	未授权访问泄露缓存数据，缓存投毒攻击	Nmap、Memcached-tool

2.4 Web 服务指纹识别（多端口深层探测）

若真实 IP 开放多个 Web 端口（如 8080、9090），需对每个端口做 "指纹探测"，定位技术栈与漏洞入口：

探测项	收集目标	方法与工具
目录结构	隐藏路径（管理后台、上传目录、备份文件，如/admin//backup.zip）	1. 工具：Dirsearch（python dirsearch.py -u http://IP:端口 -e php,jsp）、Dirb；2. 字典：SecLists（常见路径字典）
开发语言 / 框架	后端语言（PHP/Java/Python）、Web 框架（SpringBoot/ThinkPHP/Flask）	1. 页面后缀：.php→PHP，.jsp→Java；2. 响应头：X-Powered-By: PHP/7.2.3；3. 工具：WhatWeb（whatweb http://IP:端口）、潮汐指纹（https://finger.tidesec.com/）
组件版本	Web 服务器（Nginx/Apache）、中间件（Tomcat）版本（版本对应漏洞，如 Tomcat 7 弱口令）	1. Nmap：nmap -p 端口 -sV IP；2. 故意报错：访问http://IP:端口/error，报错页暴露版本
管理后台	登录入口（如/login.jsp//admin/login）	1. 字典扫描（Dirsearch）；2. Google 语法：inurl:admin site:xxx.com；3. 空间引擎：web.path="/admin" && domain="xxx.com"
报错信息	绝对路径（如/var/www/html/）、数据库账号（如root@localhost）	触发报错：http://IP:端口/index.php?id=1'（SQL 注入报错），记录关键信息

指纹识别地址：

​ kali中的whatweb

​ 潮汐指纹：http://finger.tidesec.com/

​ 云悉在线：http://www.yunsee.cn/

​ Glass：https://github.com/s7ckTeam/Glass

​ 棱洞：https://github.com/EdgeSecurityTeam/EHole

web中间件

​ 关注：是什么中间件、是什么版本、当前版本有没有解析漏洞？

​ lamp中的A：apache ---中间件

​ nginx <0.83解析漏洞

​ apache < 1.* 2.*

​ iis 6.0 文件名称解析、目录解析 |7.0 cgi畸形解析

​ tomcat --- /maneger 管理后台弱口令：tomcat:tomcat --->后台war包getshell

网站开发语言

​ 文件后缀如.php 目录扫描 漏洞扫描 插件wapplayer等等

​ 前提：熟悉对应脚本语言的特性：

​ 根据脚本语言指定攻击方式：

​ php--->写木马、信息泄露、接口未授权等等

​ asp\jsp\aspx\asp 写木马、写内存马、信息泄露、接口未授权等等

​ node.js 信息泄露、接口未授权

目录结构

关注的敏感文件：

.开头的隐藏文件
		.SVN泄露 	svnexploit
        .git泄露	githack				#包含当前的网站git数据
        .DS_Store文件			#文件中包含当前目录结构
        
备份文件：网站目录下的zip.rar.gz等等压缩包打包文件
配置文件：web-inf目录中的web.xml   web.config   会有账号密码
swagger目录：
		做API接口调试的文档工具：https://apifox.com/apiskills/what-is-swagger/
		找未授权接口、获取数据
200状态码
403
502或者存在大小的文件

ds_store_exp-master 会将目标的隐藏目录下的文件结构获取到本地，包含一些不容易被目录扫描的文件，如：

工具目录扫描：

dirsearch.py、御剑、BP 基于字典（只要字典OK干啥都行）

https://github.com/maurosoria/

下载方法4种：

git clone https://github.com/maurosoria/dirsearch.git --depth 1
python -m pip install -r requirements.txt #	

https://github.com/maurosoria/dirsearch/archive/master.zip

docker build -t "dirsearch:v0.4.2" (https://github.com/maurosoria/dirsearch#support-docker))

pip3 install dirsearch

sudo apt-get install dirsearch

常见的用法：

python dirsearch.py -u http://www.edu-learn4fun.com/ -t 5

-x 502,403		#筛选点不需要的状态码
-r	递归扫描
D:\Tool\dirsearch\dirsearch>python dirsearch.py -u http://www.edu-learn4fun.com/ -t 5

  _|. _ _  _  _  _ _|_    v0.4.3
 (_||| _) (/_(_|| (_| )

Extensions: php, asp, aspx, jsp, html, htm | HTTP method: GET | Threads: 5 | Wordlist size: 12292

Target: http://www.edu-learn4fun.com/

[20:20:01] Scanning:
[20:20:14] 404 -   555B - /php.js
[20:20:14] 404 -   555B - /asp.js
[20:20:14] 404 -   555B - /aspx.js
[20:20:14] 404 -   555B - /jsp.js
[20:20:14] 404 -   555B - /html.js
[20:20:14] 404 -   555B - /htm.js
[20:20:35] 404 -   555B - /.babelrc.js
[20:20:54] 404 -   555B - /.config/karma.conf.js
[20:20:55] 404 -    6KB - /.config/stripe/config.toml
[20:20:55] 404 -    6KB - /.config/yarn/global/package.json
[20:20:55] 404 -    6KB - /.configuration
[20:20:56] 404 -    6KB - /.configuration.php.swp
[20:20:56] 404 -    6KB - /.configuration/
[20:20:55] 404 -    6KB - /.config/yarn/global/yarn.lock
[20:20:56] 404 -    6KB - /.contracts
[20:20:56] 404 -    6KB - /.controls/
[20:20:56] 404 -    6KB - /.coq-native/
[20:20:56] 404 -    6KB - /.cookiecutterrc
[20:20:56] 404 -    6KB - /.consulo/
[20:20:57] 404 -    6KB - /.cordova/config.json
[20:20:57] 404 -    6KB - /.core
[20:20:57] 404 -    6KB - /.coverage
[20:20:57] 404 -    6KB - /.coveralls.yml
[20:20:57] 404 -    6KB - /.coveragerc
[20:20:57] 404 -    6KB - /.cpan
[20:20:57] 404 -    6KB - /.cpan/
[20:20:58] 404 -    6KB - /.cpanel/
[20:20:58] 404 -    6KB - /.cpanel/caches/config/
[20:20:58] 404 -    6KB - /.cpanm/
[20:20:58] 404 -    6KB - /.cpcache/
[20:20:58] 404 -    6KB - /.cproject
[20:20:58] 404 -    6KB - /.cr/
[20:20:59] 404 -    6KB - /.credentials
[20:20:59] 404 -    6KB - /.credential
[20:20:59] 404 -    6KB - /.credo.exs
[20:20:59] 404 -   555B - /.css
[20:20:59] 404 -    6KB - /.crt
[20:20:59] 404 -    6KB - /.csdp.cache
[20:20:59] 404 -    6KB - /.cshrc
[20:20:59] 404 -    6KB - /.csi
[20:21:00] 404 -    6KB - /.csscomb.json
[20:21:00] 404 -    6KB - /.csslintrc
[20:21:00] 404 -    6KB - /.CSV
[20:21:00] 404 -    6KB - /.csv
[20:21:00] 404 -    6KB - /.ctags
[20:21:00] 404 -    6KB - /.curlrc
[20:21:00] 404 -    6KB - /.CVS
[20:21:01] 404 -    6KB - /.cvs
[20:21:01] 404 -    6KB - /.cvsignore
[20:21:01] 404 -    6KB - /.dart_tool/
[20:21:01] 404 -    6KB - /.dat
[20:21:01] 404 -    6KB - /.data/
[20:21:01] 404 -    6KB - /.db
[20:21:01] 404 -    6KB - /.db.xml
[20:21:02] 404 -    6KB - /.db.yaml
[20:21:02] 404 -    6KB - /.db3
[20:21:02] 404 -    6KB - /.dbshell
[20:21:02] 404 -    6KB - /.dbus/
[20:21:02] 404 -    6KB - /.dep.inc
[20:21:02] 404 -    6KB - /.depend
[20:21:03] 404 -    6KB - /.dependabot
[20:21:03] 404 -    6KB - /.deploy/values.yaml
[20:21:03] 404 -    6KB - /.deployignore
[20:21:03] 404 -    6KB - /.deployment
[20:21:03] 404 -    6KB - /.deployment-config.json
[20:21:03] 404 -    6KB - /.dev/
[20:21:03] 404 -    6KB - /.dir-locals.el
[20:21:04] 404 -    6KB - /.directory
[20:21:04] 404 -    6KB - /.divzero.log
[20:21:04] 404 -    6KB - /.do
[20:21:04] 404 -    6KB - /.doc
[20:21:04] 404 -    6KB - /.docker
[20:21:04] 404 -    6KB - /.docker/
[20:21:04] 404 -    6KB - /.docker/.env
[20:21:05] 404 -    6KB - /.docker/config.json
[20:21:05] 404 -    6KB - /.docker/daemon.json
[20:21:05] 404 -    6KB - /.docker/laravel/app/.env
[20:21:05] 404 -    6KB - /.dockercfg
[20:21:05] 404 -    6KB - /.dockerignore
[20:21:05] 404 -    6KB - /.docs/
[20:21:05] 404 -    6KB - /.document
[20:21:06] 404 -    6KB - /.drone.jsonnet
[20:21:06] 404 -    6KB - /.dotfiles.boto
[20:21:06] 404 -    6KB - /.drone.sec
[20:21:06] 404 -    6KB - /.drone.yaml
[20:21:06] 404 -    6KB - /.drone.yml
[20:21:06] 200 -    6KB - /.DS_Store
[20:21:06] 404 -    6KB - /.dropbox.attr
[20:21:06] 404 -    6KB - /.dropbox
[20:21:07] 404 -    6KB - /.dropbox.cache
[20:21:07] 404 -    6KB - /.dropbox/
[20:21:07] 404 -    6KB - /.ds_store
[20:21:07] 404 -    6KB - /.dsk
[20:21:07] 404 -    6KB - /.dub
[20:21:07] 404 -    6KB - /.dummy
[20:21:07] 404 -    6KB - /.dump
[20:21:08] 404 -    6KB - /.dynamodb/
[20:21:08] 404 -    6KB - /.editorconfig
[20:21:08] 404 -    6KB - /.eclipse
[20:21:08] 404 -    6KB - /.eggs/
[20:21:08] 404 -    6KB - /.elasticbeanstalk/
[20:21:08] 404 -    6KB - /.elb
[20:21:09] 404 -    6KB - /.elc
[20:21:09] 404 -    6KB - /.elixir_ls/
[20:21:09] 404 -    6KB - /.emacs
[20:21:09] 404 -    6KB - /.emacs.desktop
[20:21:09] 404 -    6KB - /.emacs.desktop.lock
[20:21:09] 404 -    6KB - /.emails/
[20:21:09] 404 -    6KB - /.ember-cli
[20:21:10] 404 -    6KB - /.empty-folder
[20:21:10] 404 -    6KB - /.ensime
[20:21:10] 404 -    6KB - /.ensime_cache/
[20:21:10] 404 -    6KB - /.ensime_lucene/
[20:21:10] 404 -    6KB - /.env
[20:21:10] 404 -    6KB - /.env-example
[20:21:10] 404 -    6KB - /.env-sample
[20:21:11] 404 -    6KB - /.env.backup
[20:21:11] 404 -    6KB - /.env.dev
[20:21:11] 404 -    6KB - /.env.dev.local
[20:21:11] 404 -    6KB - /.env.development.local
[20:21:11] 404 -    6KB - /.env.development.sample
[20:21:11] 404 -    6KB - /.env.dist
[20:21:11] 404 -    6KB - /.env.docker
[20:21:12] 404 -    6KB - /.env.docker.dev
[20:21:12] 404 -    6KB - /.env.example
[20:21:12] 404 -    6KB - /.env.local
[20:21:12] 404 -    6KB - /.env.prod
[20:21:12] 404 -    6KB - /.env.prod.local
[20:21:12] 404 -    6KB - /.env.production
[20:21:12] 404 -    6KB - /.env.production.local
[20:21:13] 404 -    6KB - /.env.sample
[20:21:13] 404 -    6KB - /.env.save
[20:21:13] 404 -    6KB - /.env.stage
[20:21:13] 404 -    6KB - /.env.test
[20:21:13] 404 -    6KB - /.env.test.local
[20:21:13] 404 -    6KB - /.env.test.sample
[20:21:13] 404 -    6KB - /.environment
[20:21:14] 404 -    6KB - /.env.travis
[20:21:14] 404 -    6KB - /.envrc
[20:21:14] 404 -    6KB - /.envs
[20:21:14] 404 -    6KB - /.env~
[20:21:14] 404 -    6KB - /.error_log
[20:21:14] 404 -    6KB - /.esdoc.json
[20:21:14] 404 -    6KB - /.esformatter
[20:21:14] 404 -   555B - /.eslintrc.js
[20:21:15] 404 -    6KB - /.eslintcache
[20:21:15] 404 -    6KB - /.eslintignore
[20:21:15] 404 -    6KB - /.eslintrc
[20:21:15] 404 -    6KB - /.eslintrc.yaml
[20:21:15] 404 -    6KB - /.eslintrc.json
[20:21:15] 404 -    6KB - /.eslintrc.yml
[20:21:16] 404 -    6KB - /.esmtprc
[20:21:16] 404 -    6KB - /.espressostorage
[20:21:16] 404 -    6KB - /.eunit
[20:21:16] 404 -    6KB - /.evg.yml
[20:21:16] 404 -    6KB - /.exe
[20:21:16] 404 -    6KB - /.exercism
[20:21:16] 404 -    6KB - /.exit.log
[20:21:16] 404 -    6KB - /.exports
[20:21:17] 404 -    6KB - /.external/
[20:21:17] 404 -    6KB - /.external/data
[20:21:17] 404 -    6KB - /.externalNativeBuild
[20:21:17] 404 -    6KB - /.externalnativebuild
[20:21:17] 404 -    6KB - /.externalToolBuilders/
[20:21:17] 404 -    6KB - /.externaltoolbuilders/
[20:21:18] 404 -    6KB - /.extra
[20:21:18] 404 -    6KB - /.factorypath
[20:21:18] 404 -    6KB - /.fake/
[20:21:18] 404 -    6KB - /.faultread.log
[20:21:18] 404 -    6KB - /.faultreadkernel.log
[20:21:18] 404 -    6KB - /.FBCIndex
[20:21:18] 404 -    6KB - /.fbprefs
[20:21:19] 404 -    6KB - /.fetch
[20:21:19] 404 -    6KB - /.fhp
[20:21:19] 404 -    6KB - /.filemgr-tmp
[20:21:19] 404 -    6KB - /.filetree
[20:21:19] 404 -    6KB - /.filezilla/
[20:21:19] 404 -    6KB - /.filezilla/sitemanager.xml.xml
[20:21:19] 404 -    6KB - /.finished-upgraders
[20:21:20] 404 -    6KB - /.firebaserc
[20:21:20] 404 -    6KB - /.fishsrv.pl
[20:21:20] 404 -    6KB - /.fixtures.yml
[20:21:20] 404 -    6KB - /.flac
[20:21:20] 404 -    6KB - /.flake8
[20:21:20] 404 -    6KB - /.flexLibProperties
[20:21:20] 404 -    6KB - /.floo
[20:21:21] 404 -    6KB - /.flooignore
[20:21:21] 404 -    6KB - /.flowconfig
[20:21:21] 404 -    6KB - /.flv
[20:21:21] 404 -    6KB - /.fontconfig/
[20:21:21] 404 -    6KB - /.fontcustom-manifest.json
[20:21:21] 404 -    6KB - /.foodcritic
[20:21:21] 404 -    6KB - /.fop/
[20:21:22] 404 -    6KB - /.forktest.log
[20:21:22] 404 -    6KB - /.forktree.log
[20:21:22] 404 -    6KB - /.formatter.exs
[20:21:22] 404 -    6KB - /.forward
[20:21:22] 404 -    6KB - /.frlog
[20:21:22] 404 -    6KB - /.fseventsd
[20:21:22] 404 -    6KB - /.ftp
[20:21:23] 404 -    6KB - /.ftp-access
[20:21:23] 404 -    6KB - /.ftpconfig
[20:21:23] 404 -    6KB - /.ftppass
[20:21:23] 404 -    6KB - /.ftpquota
[20:21:23] 404 -    6KB - /.functions
[20:21:23] 404 -    6KB - /.fuse_hidden
[20:21:24] 404 -    6KB - /.fusebox/
[20:21:24] 404 -    6KB - /.gdbinit
[20:21:24] 404 -    6KB - /.gdrive/token_v2.json
[20:21:24] 404 -    6KB - /.gem
[20:21:24] 404 -    6KB - /.gem/credentials
[20:21:24] 404 -    6KB - /.gemfile
[20:21:24] 404 -    6KB - /.gemrc
[20:21:25] 404 -    6KB - /.gems
[20:21:25] 404 -    6KB - /.gemspec
[20:21:25] 404 -    6KB - /.gemtest
[20:21:25] 404 -    6KB - /.generators
[20:21:25] 404 -    6KB - /.geppetto-rc.json
[20:21:25] 404 -    6KB - /.gfclient/
[20:21:25] 404 -   555B - /.gif
[20:21:25] 404 -    6KB - /.gfclient/pass
[20:21:26] 404 -    6KB - /.ghc.environment
[20:21:26] 404 -    6KB - /.ghci
[20:21:26] 404 -    6KB - /.gho
[20:21:26] 404 -    6KB - /.git
[20:21:26] 404 -    6KB - /.git-credentials
[20:21:26] 404 -    6KB - /.git-rewrite/
[20:21:26] 404 -    6KB - /.git.json
[20:21:27] 404 -    6KB - /.git/
[20:21:27] 404 -    6KB - /.git/COMMIT_EDITMSG
[20:21:27] 404 -    6KB - /.git/branches/
[20:21:27] 404 -    6KB - /.git/config
[20:21:27] 404 -    6KB - /.git/description
[20:21:27] 404 -    6KB - /.git/FETCH_HEAD
[20:21:27] 404 -    6KB - /.git/HEAD
[20:21:28] 404 -    6KB - /.git/head
[20:21:28] 404 -    6KB - /.git/hooks/
[20:21:28] 404 -    6KB - /.git/hooks/commit-msg
[20:21:29] 404 -    6KB - /.git/hooks/pre-applypatch
[20:21:28] 404 -    6KB - /.git/hooks/applypatch-msg
[20:21:29] 404 -    6KB - /.git/hooks/pre-commit
[20:21:29] 404 -    6KB - /.git/hooks/pre-push
[20:21:29] 404 -    6KB - /.git/hooks/pre-rebase
[20:21:29] 404 -    6KB - /.git/hooks/prepare-commit-msg
[20:21:29] 404 -    6KB - /.git/hooks/pre-receive
[20:21:29] 404 -    6KB - /.git/hooks/update
[20:21:29] 404 -    6KB - /.git/index
[20:21:30] 404 -    6KB - /.git/info/
[20:21:30] 404 -    6KB - /.git/info/attributes
[20:21:30] 404 -    6KB - /.git/info/exclude
[20:21:30] 404 -    6KB - /.git/info/refs
[20:21:30] 404 -    6KB - /.git/logs/
[20:21:30] 404 -    6KB - /.git/logs/HEAD
[20:21:30] 404 -    6KB - /.git/logs/head
[20:21:31] 404 -    6KB - /.git/logs/refs
[20:21:31] 404 -    6KB - /.git/logs/refs/heads
[20:21:31] 404 -    6KB - /.git/logs/refs/heads/master
[20:21:31] 404 -    6KB - /.git/logs/refs/remotes
[20:21:31] 404 -    6KB - /.git/logs/refs/remotes/origin
[20:21:31] 404 -    6KB - /.git/logs/refs/remotes/origin/HEAD
[20:21:31] 404 -    6KB - /.git/logs/refs/remotes/origin/master
[20:21:32] 404 -    6KB - /.git/objects/
[20:21:32] 404 -    6KB - /.git/objects/info/packs
[20:21:32] 404 -    6KB - /.git/packed-refs
[20:21:32] 404 -    6KB - /.git/refs/
[20:21:32] 404 -    6KB - /.git/refs/heads
[20:21:32] 404 -    6KB - /.git/refs/heads/master
[20:21:32] 404 -    6KB - /.git/refs/remotes
[20:21:33] 404 -    6KB - /.git/refs/remotes/origin
[20:21:33] 404 -    6KB - /.git/refs/remotes/origin/HEAD
[20:21:33] 404 -    6KB - /.git/refs/remotes/origin/master
[20:21:33] 404 -    6KB - /.git/refs/tags
[20:21:33] 404 -    6KB - /.git2/
[20:21:33] 404 -    6KB - /.git_release
[20:21:33] 404 -    6KB - /.gitattributes
[20:21:34] 404 -    6KB - /.gitchangelog.rc
[20:21:34] 404 -    6KB - /.gitconfig
[20:21:34] 404 -    6KB - /.github/
[20:21:34] 404 -    6KB - /.github/ISSUE_TEMPLATE.md
[20:21:34] 404 -    6KB - /.github/PULL_REQUEST_TEMPLATE.md
[20:21:34] 404 -    6KB - /.github/workflows/blank.yml
[20:21:34] 404 -    6KB - /.github/workflows/ci.yml
[20:21:35] 404 -    6KB - /.github/workflows/dependabot.yml
[20:21:35] 404 -    6KB - /.github/workflows/docker.yml
[20:21:35] 404 -    6KB - /.github/workflows/master.yml
[20:21:35] 404 -    6KB - /.github/workflows/maven.yml
[20:21:35] 404 -    6KB - /.github/workflows/nodejs.yml
[20:21:35] 404 -    6KB - /.github/workflows/publish.yml
[20:21:35] 404 -    6KB - /.gitignore
[20:21:36] 404 -    6KB - /.gitignore.orig
[20:21:36] 404 -    6KB - /.gitignore.swp
[20:21:36] 404 -    6KB - /.gitignore/
[20:21:36] 404 -    6KB - /.gitignore_global
[20:21:36] 404 -    6KB - /.gitignore~
[20:21:28] 404 -    6KB - /.git/hooks/post-update
[20:21:36] 404 -    6KB - /.gitk
[20:21:36] 404 -    6KB - /.gitkeep
[20:21:36] 404 -    6KB - /.gitlab
[20:21:37] 404 -    6KB - /.gitlab-ci.off.yml
[20:21:37] 404 -    6KB - /.gitlab-ci.yml
[20:21:37] 404 -    6KB - /.gitlab-ci/.env
[20:21:37] 404 -    6KB - /.gitlab/issue_templates
[20:21:37] 404 -    6KB - /.gitlab/merge_request_templates
[20:21:37] 404 -    6KB - /.gitlab/route-map.yml
[20:21:38] 404 -    6KB - /.gitmodules
[20:21:38] 404 -    6KB - /.gitreview
[20:21:38] 404 -    6KB - /.gnome/
[20:21:38] 404 -    6KB - /.gnupg/
[20:21:38] 404 -    6KB - /.gnupg/trustdb.gpg
[20:21:38] 404 -    6KB - /.godir
[20:21:38] 404 -    6KB - /.golangci.yml
[20:21:39] 404 -    6KB - /.google.token
[20:21:39] 404 -    6KB - /.goreleaser.yml
[20:21:39] 404 -    6KB - /.goxc.json
[20:21:39] 404 -    6KB - /.gphoto/
[20:21:39] 404 -    6KB - /.gradle
[20:21:39] 404 -    6KB - /.gradle/
[20:21:39] 404 -    6KB - /.gradle/gradle.properties
[20:21:40] 404 -    6KB - /.gradletasknamecache
[20:21:40] 404 -    6KB - /.groc.json
[20:21:40] 404 -    6KB - /.grunt
[20:21:40] 404 -    6KB - /.grunt/
[20:21:40] 404 -    6KB - /.gtkrc
[20:21:40] 404 -    6KB - /.guile_history
[20:21:40] 404 -    6KB - /.gvimrc
[20:21:41] 404 -    6KB - /.gwt-tmp/
[20:21:41] 404 -    6KB - /.gwt/
[20:21:41] 404 -    6KB - /.gz
[20:21:41] 404 -    6KB - /.hash
[20:21:41] 404 -    6KB - /.hello.log
[20:21:41] 404 -    6KB - /.helm/repository/repositories.yaml
[20:21:42] 404 -    6KB - /.helm/values.conf
[20:21:42] 404 -    6KB - /.helm/values.yaml
[20:21:42] 404 -    6KB - /.hg
[20:21:42] 404 -    6KB - /.hg/
[20:21:42] 404 -    6KB - /.hg/branch
[20:21:42] 404 -    6KB - /.hg/dirstate
[20:21:42] 404 -    6KB - /.hg/hgrc
[20:21:43] 404 -    6KB - /.hg/requires
[20:21:43] 404 -    6KB - /.hg/store/data/
[20:21:43] 404 -    6KB - /.hg/store/undo
[20:21:43] 404 -    6KB - /.hg/undo.dirstate
[20:21:43] 404 -    6KB - /.hg_archival.txt
[20:21:43] 404 -    6KB - /.hgignore
[20:21:43] 404 -    6KB - /.hgignore.global
[20:21:44] 404 -    6KB - /.hgrc
[20:21:44] 404 -    6KB - /.hgsigs
[20:21:44] 404 -    6KB - /.hgsub
[20:21:44] 404 -    6KB - /.hgsubstate
[20:21:44] 404 -    6KB - /.hgtags
[20:21:44] 404 -    6KB - /.hhconfig
[20:21:44] 404 -    6KB - /.histfile
[20:21:45] 404 -    6KB - /.history
[20:21:45] 404 -    6KB - /.hound.yml
[20:21:45] 404 -    6KB - /.hpc
[20:21:45] 200 -    3KB - /.htaccess
[20:21:45] 404 -    6KB - /.hsdoc
[20:21:45] 404 -    6KB - /.hsenv
[20:21:45] 404 -    6KB - /.ht_wsr.txt
[20:21:45] 404 -    6KB - /.hta
[20:21:46] 404 -    6KB - /.htaccess-dev
[20:21:46] 404 -    6KB - /.htaccess-local
[20:21:46] 404 -    6KB - /.htaccess.BAK
[20:21:46] 404 -    6KB - /.htaccess-marco
[20:21:46] 404 -    6KB - /.htaccess.bak

2.5 子域名收集（扩大攻击面）

子域名（如test.xxx.com/crm.xxx.com）常防护薄弱，需全面枚举并验证存活：

收集方法	原理与优势	操作示例
空间引擎枚举（推荐）	覆盖广、速度快，直接获取存活子域名	1. Fofa：domain="xxx.com" && is_web=true；2. Hunter：domain.suffix="xxx.com"；3. 微步在线：domain:"xxx.com"
搜索引擎语法	补充空间引擎遗漏的子域名（如小众子域名）	1. Google/Bing：site:xxx.com -www（排除主域名）；2. site:xxx.com inurl:test（找含 "test" 的子域名）
工具爆破（离线）	深度枚举，需字典支持，适合无网络场景	1. SubDomainsBrute：python subDomainsBrute.py -d xxx.com -t 50 -o sub.txt；2. OneForAll：python oneforall.py --target xxx.com run；3. 字典：subdomains-top1million-5000.txt（含admin/oa/test）
泛解析处理	排除无效子域名（泛解析：任意子域名解析到同一 IP）	工具：SubDomainsBrute 自动识别泛解析；手动验证：访问子域名看 HTTP 状态码（200/301 为有效）

2.6 旁站与 C 段资产（横向扩展）

• 旁站 ：与目标共用同一 IP 的其他网站（如192.168.1.100:80是目标，8080是旁站），旁站漏洞可间接影响目标；
  收集工具：站长之家旁站查询（https://stool.chinaz.com/same）、IP138（`https://site.ip138.com/IP`）。
• C 段 ：真实 IP 所在网段（如192.168.1.0/24），同一单位常将多台服务器部署在同一 C 段；
  扫描工具：Nmap（nmap -sn 192.168.1.0/24）、Masscan（masscan -p 80,443 192.168.1.0/24 --rate=1000）、Fscan（fscan.exe -h 192.168.1.0/24）；
  关联验证：用icp.chinaz.com查 C 段 IP 备案单位，确认是否为目标关联资产。

2.7 小程序 / APP 信息收集（移动端入口）

小程序与 APP 常暴露未防护的 API 或配置，需针对性探测：

类型	收集目标	方法与工具
微信小程序	备案主体、API 接口、源码配置（如app.js中的密钥）	1. 微信公众平台（https://mp.weixin.qq.com/）查开发主体；2. 抓包：Charles 配置手机代理拦截 API；3. 反编译：wxappUnpacker解包源码
APP	开发厂商、依赖 SDK（如友盟）、接口加密方式、硬编码账号	1. 应用商店查版本 / 开发者；2. 反编译：Apktool（解包资源）、IDA Pro（逆向二进制）；3. 抓包：Burp Suite 拦截 HTTP/HTTPS 请求，分析Authorization头

2.8 域名信息收集（备案 / WHOIS/IP 反查 / 子域名）

域名是单资产的核心标识，通过域名信息收集可关联所属单位、挖掘注册人线索、定位关联资产（如旁站、子域名），是 "从域名到单位""从单 IP 到多资产" 的关键桥梁。

2.8.1 域名备案查询（关联所属单位）

收集目标

获取域名对应的备案号、主办单位名称、主办单位性质（如企业 / 事业单位 / 个人），确认域名归属，避免误测无关资产。

工具与方法

工具类型	工具名称 / 链接	操作示例
专门 ICP 备案平台	1. ICP 备案查询网：http://www.beianx.cn/ 2. 查 ICP 备案网：http://www.chaicp.com/ 3. 站长之家 ICP 查询：https://icp.chinaz.com/ 4. 爱站网 ICP 查询：https://icp.aizhan.com/ 5. 域名助手：http://cha.fute.com/index	在输入框填入目标域名（如hospital.com），查询结果含 "主办单位"（如 "XX 市第一人民医院"）、"备案号"（如 "蜀 ICP 备 17005289 号"）
企业信息平台	1. 天眼查：https://www.tianyancha.com/ 2. 企查查：https://www.qcc.com/ 3. 京东征信：https://icredit.jd.com/	输入单位名称（如 "XX 市第一人民医院"），在 "网站备案" 模块查该单位名下所有域名，扩大资产范围

注意事项

• 备案信息存在延迟（新域名备案后 1-3 天同步），若查询无结果可隔期重试；
• 个人备案的域名可能与目标单位无关，需结合业务内容（如页面是否含单位名称）进一步验证；
• 部分域名使用第三方代理备案，主办单位可能显示代理公司名称，需结合 WHOIS 或 IP 反查交叉确认。

2.8.2 WHOIS 查询（挖掘注册人线索）

收集目标

获取域名的注册人信息（姓名 / 企业、邮箱、手机号）、注册地址、注册有效期、DNS 服务器，用于：

1. 社工攻击（如注册人邮箱用于钓鱼）；
2. 判断域名活跃度（临近过期的域名可能防护较弱）；
3. 关联同一注册人的其他域名（扩大攻击面）。

工具与方法

工具类型	工具名称 / 链接	操作示例与关键信息
在线 WHOIS 平台	1. 站长之家 WHOIS：https://tool.chinaz.com/tools/nav 2. 爱站网 WHOIS：https://whois.aizhan.com 3. 阿里云 WHOIS：https://whois.aliyun.com/ 4. 腾讯云 WHOIS：https://whois.cloud.tencent.com/	输入域名（如hospital.com），重点关注： - Registrant Name（注册人） - Registrant Email（注册人邮箱） - Registrant Phone（注册人电话） - Registry Expiry Date（到期时间）
本地命令（Kali）	whois命令	在终端执行 whois hospital.com，输出结果与在线平台一致，适合批量查询（可结合脚本自动化）
国外 WHOIS 平台	1. WHOIS.com：https://www.whois.com/whois/ 2. IANA WHOIS：https://www.iana.org/whois	适合查询境外注册的域名（国内平台可能无法获取完整信息）

注意事项

• 若域名使用隐私保护服务（如阿里云 "域名隐私保护"），注册人信息会显示为第三方代理（如 "Alibaba Cloud Computing Ltd."），需结合备案或 DNS 服务器关联真实单位；
• 记录Registrar Abuse Contact Email/Phone（域名服务商投诉邮箱 / 电话），若发现恶意资产可用于举报；
• 同一注册人邮箱 / 手机号可能注册多个域名，可通过 "反向 WHOIS" 工具（如 ViewDNS：https://viewdns.info/reversewhois/）挖掘关联域名。

2.8.3 IP 反查域名（定位旁站资产）

收集目标

通过已知 IP（如域名解析 IP、真实 IP）反查该 IP 下所有已解析的域名，找到 "旁站"（同一 IP 的其他网站），利用旁站漏洞间接渗透目标。

工具与方法

工具类型	工具名称 / 链接	操作示例
站长工具	1. 站长之家旁站查询：https://stool.chinaz.com/same 2. IP138 反查：https://site.ip138.com/	输入目标 IP（如192.168.1.100），查询结果显示该 IP 下所有域名（如hospital.com、test.abc.com），标记非目标域名作为旁站重点
专业 DNS 平台	DNSlytics：https://dnslytics.com/	输入 IP 后，可查看该 IP 的 "Domain History"（历史解析域名），挖掘已失效但曾关联的资产
空间搜索引擎	1. FOFA：https://fofa.info 2. 奇安信 Hunter：https://hunter.qianxin.com/ 3. Shodan：https://www.shodan.io/	1. FOFA 语法：ip="192.168.1.100" 2. Hunter 语法：ip="192.168.1.100" 结果含该 IP 的 Web 服务、域名、端口等信息，可筛选旁站

注意事项

• 若 IP 是CDN 节点 或 "共享 IP"（如虚拟主机），反查结果可能包含大量无关域名，需结合备案号（icp.number="目标备案号"）筛选目标单位资产；
• 部分工具（如 FOFA/Hunter）需登录后查看完整结果，建议注册账号以获取更多数据。

2.8.4 基于域名的子域名收集（扩大攻击面）

收集目标

以主域名为基础，枚举所有子域名 （如oa.hospital.com、test.hospital.com），子域名常因防护薄弱（如测试环境、旧系统）成为突破口。

工具与方法（补充域名专属场景）

收集方式	工具 / 语法	操作示例
搜索引擎语法	Google/Bing 之 site:主域名	1. site:hospital.com -www（排除主域名www.hospital.com，仅显示子域名） 2. site:hospital.com inurl:test（筛选含 "test" 的测试环境子域名）
空间搜索引擎	1. FOFA：domain="主域名" 2. 奇安信 Hunter：domain.suffix="主域名" 3. 微步在线：https://x.threatbook.cn/	1. FOFA 语法：domain="hospital.com"（显示所有子域名及对应 IP） 2. 微步在线：输入主域名hospital.com，在 "子域名" 模块查看完整列表
在线平台专属查询	微步在线（侧重威胁情报关联）	访问 https://x.threatbook.cn/，输入主域名后，可查看子域名的 "风险标签"（如 "存在 SQL 注入漏洞"），优先测试高风险子域名

三、组织级信息收集（单位）：从业务到人员

针对目标单位，挖掘 "业务结构→人员信息→关联资产→信息泄露"，定位高价值数据与社工入口，核心是 "以业务为核心，横向扩展攻击面"。

3.1 人员信息收集（社工攻击入口）

聚焦关键角色（权限高、易突破），避免收集普通员工隐私：

角色类型	收集内容（姓名 / 职位 / 邮箱 / 电话）	收集渠道
IT 运维人员	负责服务器 / 系统维护，掌握账号密码、内网架构	1. 招聘网站（BOSS 直聘 / 智联）：搜 "XX 单位 IT 运维" 看岗位发布人；2. 领英：搜 "XX 单位 系统管理员"；3. 官网 "技术团队" 栏目
财务人员	掌握财务数据（如收款记录、预算表），邮箱易泄露敏感文档	1. 企查查 / 天眼查：查单位工商信息中的财务负责人；2. 招投标网：查 "XX 单位 财务采购" 项目联系人
高管（CEO/CTO）	决策层，邮箱可能用于重要系统注册，弱口令概率高	1. 官网 "关于我们→管理层"；2. 新闻报道：搜 "XX 单位 CEO 姓名"；3. 行业峰会演讲嘉宾名单

3.2 业务结构与核心系统（高价值目标定位）

不同行业的核心系统不同，需精准识别（系统对应数据价值）：

行业	核心业务系统	数据价值与风险点	收集渠道
医院	HIS（医院信息）、LIS（检验）、PACS（影像）	患者病历、收费数据（隐私违规重灾区）	1. 官网 "就医服务" 看系统入口；2. 招投标网（中国招标投标公共服务平台）查 HIS 采购记录；3. 招聘 "HIS 运维" 岗位暴露系统厂商
学校	教务系统、学生信息系统（SIS）、一卡通	学生成绩、身份证号、缴费记录	1. 校园网 "教务管理" 入口；2. 家长端 APP 抓包看接口域名；3. 新闻 "XX 学校 智慧校园上线"
电商	订单系统、支付系统、用户中心	客户手机号、银行卡信息、交易记录（高价值）	1. APP "我的订单" 抓包；2. 支付合作商公示（如微信支付商户信息）；3. 招聘 "电商系统开发" 岗位
政府 / 国企	政务服务系统、OA 系统、数据共享平台	政务数据、内部文件（合规要求高）	1. 政府官网 "政务服务" 栏目；2. 政府采购网查系统采购合同；3. 公开的 "数字化转型方案"

3.3 关联单位与第三方供应商（供应链风险）

• 关联单位 ：子公司、控股企业（同一集团常共用内网或数据）；
  收集工具：企查查 / 天眼查（"股权穿透" 功能）、国家企业信用信息公示系统（http://www.gsxt.gov.cn/）；
  利用价值：子公司防护薄弱（如test.xxx-sub.com），可先拿下子公司再横向渗透母公司。
• 第三方供应商 ：系统集成商、运维服务商（供应商漏洞可传导至目标）；
  收集渠道：1. 官网 "合作伙伴" 栏目；2. 招投标网中标公示（如 "XX 单位 OA 系统由 XX 科技中标"）；3. 产品说明文档中的 "技术支持方"；
  风险点：供应商开发的系统（如定制 OA）存在漏洞，可通过供应商系统访问目标数据。

3.4 信息泄露挖掘（直接获取敏感数据）

信息泄露是 "低成本突破" 的关键，需重点关注以下类型：

泄露类型	收集目标（文档 / 源码 / 账号）	收集方法与语法
文档泄露	财务 Excel（如 "2025 年学费收缴.xls"）、业务 PDF（如 "诊疗规范.pdf"）、Word 方案（如 "产品报价单.doc"）	1. Google/Bing 语法：filetype:xls 单位名称 "财务" -site:xxx.com（排除官网）；2. Wayback Machine（https://archive.org/）查历史页面（已删除文档）
源码泄露	Web 配置文件（config.php/application.yml）、数据库账号、密钥（如 API 密钥）	1. GitHub/Gitee 搜索："xxx.com" password（找含目标域名的密码）、"xxx.com" database；2. 工具：GitHack（下载泄露的 Git 源码）；3. 目录扫描：Dirsearch 搜/.git/（Git 源码泄露）
账号密码泄露	员工登录账号（如admin/123456）、数据库账号（root/root123）	1. 社工库（合法测试需授权！）；2. 搜索引擎语法："xxx.com" 登录 账号 password；3. 泄露论坛（如暗网，需合规！）

四、工具与语法大全（实操必备）

整合 "搜索引擎、空间引擎、离线工具、集成系统"，覆盖信息收集全场景。

4.1 搜索引擎语法（Google/Bing）

免费高效，适合补全表层信息，中文目标优先用 Bing（https://cn.bing.com/），多关键字筛选或强制匹配场景优先用 Google，语法功能与示例如下：

语法	功能描述	示例（目标：某医院，域名hospital.com）
site:域名	仅显示指定域名下的所有关联页面，排除其他域名干扰	1. site:hospital.com（医院官网所有页面）；2. site:hospital.com -www（排除主域名，仅显示子域名页面，如oa.hospital.com）
inurl:关键词	页面 URL 中至少包含一个指定关键字，常用于定位后台、系统入口或特定路径	1. inurl:admin site:hospital.com（医院官网含 "admin" 的后台路径）；2. inurl:admin.php site:hospital.com（医院官网含 "admin.php" 的后台文件）；3. inurl:HIS site:hospital.com（医院官网含 "HIS" 的系统入口）
allinurl:关键字1 关键字2	页面 URL 中必须包含所有 指定关键字，比inurl筛选更严格	1. allinurl:admin.php login site:hospital.com（医院官网 URL 同时含 "admin.php" 和 "login" 的登录后台）；2. allinurl:HIS 预约 site:hospital.com（医院官网 URL 同时含 "HIS" 和 "预约" 的挂号入口）
intext:关键词	页面内容中至少包含一个指定关键字，用于挖掘页面内的敏感数据或业务信息	1. intext:患者信息 病历 site:hospital.com（医院官网内容含 "患者信息""病历" 的页面）；2. intext:挂号系统 就诊卡 site:hospital.com（医院官网内容含 "挂号系统""就诊卡" 的页面）；3. intext:后台登录 inurl:ruoyi site:hospital.com（医院官网若依框架的后台登录页面）
allintext:关键字1 关键字2	页面内容中必须包含所有指定关键字，精准定位多条件匹配的内容	1. allintext:登录 管理 后台 site:hospital.com（医院官网内容同时含 "登录""管理""后台" 的页面）；2. allintext:药品采购 价格 2025 site:hospital.com（医院官网 2025 年药品采购价格相关页面）
intitle:关键词	页面标题（Title 标签）中至少包含一个指定关键字，常用于定位登录页、管理页	1. intitle:管理员登录 site:hospital.com（医院官网标题含 "管理员登录" 的页面）；2. intitle:HIS系统 site:hospital.com（医院官网标题含 "HIS 系统" 的页面）
allintitle:关键字1 关键字2	页面标题中必须包含所有指定关键字，精准筛选多条件匹配的标题	1. allintitle:后台 登录 site:hospital.com（医院官网标题同时含 "后台""登录" 的页面）；2. allintitle:后台 "XX医院" site:hospital.com（医院官网标题同时含 "后台" 和 "XX 医院" 的页面，双引号强制精确匹配）
filetype:格式	仅显示指定文件格式（如 pdf/xls/doc/xlsx）的页面，用于挖掘泄露文档	1. filetype:pdf site:hospital.com 诊疗规范（医院官网的 "诊疗规范" PDF 文档）；2. filetype:xls site:hospital.com 员工名单（医院官网的 "员工名单" Excel 文件）；3. filetype:pdf allintext:GB/T 医院 消毒 site:hospital.com（医院官网符合国标 GB/T 的消毒相关 PDF 文档）
"关键词"	强制精确匹配指定关键字 / 短语，避免搜索引擎拆分或替换同义词（如 "登录" 不匹配 "登入"）	1. "XX医院 2025年财务预算" site:hospital.com（精确查找医院 2025 年财务预算相关页面）；2. "患者隐私保护 制度" site:hospital.com（精确查找医院患者隐私保护制度页面）
-关键词	排除结果中包含指定关键字的内容，用于过滤无效或干扰信息	1. filetype:xls 医院 名单 -test site:hospital.com（医院官网的 "名单" Excel 文件，排除含 "test" 的测试文件）；2. intext:挂号 -预约 site:hospital.com（医院官网含 "挂号" 的页面，排除含 "预约" 的干扰内容）
+关键词	强制筛选结果中必须包含 指定关键字（部分引擎如 Google 支持），比allintext更灵活	1. filetype:xls +hospital.com（仅显示hospital.com域名下的 Excel 文件，排除其他域名同类文件）；2. intext:缴费 +医保 site:hospital.com（医院官网含 "缴费" 且必须含 "医保" 的页面）

补充说明

• 语法组合使用：上述语法可叠加（如filetype:xls allintext:学生名单 -test +school.com），进一步缩小筛选范围；
• 漏洞库参考：如需更多针对性的 Google Hack 语法（如漏洞相关筛选），可参考 Exploit-DB 漏洞库：
  • 语法大全：https://www.exploit-db.com/
  • 漏洞 POC 库：https://www.exploit-db.com/exploits/（可结合语法定位存在特定漏洞的资产）。

4.2 空间引擎（批量资产收集）

空间引擎通过扫描全球 IP / 域名资产，实现 "批量定位、精准筛选"，是信息收集阶段效率核心工具。以下整合主流空间引擎，含核心特色、实操语法与官网地址：

引擎名称	核心特色	关键语法示例（目标：某教育单位，主域edu.xxx.com，备案号蜀ICP备17005289号）	官网地址
奇安信 Hunter	侧重中国境内 Web 资产，支持备案号 / 图标 / 相似网站检索，资产存活率高	1. 备案号筛选：icp.number="蜀ICP备17005289号"；2. 图标匹配：web.icon="22eeab765346f14faf564a4709f98548"；3. 相似网站：web.similar="edu.xxx.com:443"	https://hunter.qianxin.com/
FOFA	资产覆盖广（含内网资产），支持多条件组合筛选，语法灵活	1. 域名关联：domain="edu.xxx.com" && is_web=true；2. 技术栈筛选：app="Apache-Tomcat-8.5" && country="CN"；3. 内容匹配：web.body="学生信息系统" && icp.name="XX教育局"	https://i.nosec.org/login
ZoomEye（钟馗之眼）	侧重 Web 资产与网络设备（路由器 / 摄像头），支持 "组件 + 版本" 精准筛选	1. 组件筛选：app:"ThinkPHP" && app_version:"5.0.23"（找存在漏洞的 ThinkPHP 版本）；2. 单位名称匹配：title:"XX大学" && port:443	https://www.zoomeye.org/
潮汐指纹	专注 Web 指纹识别（开发语言 / 框架 / 组件版本），支持批量查询与导出	1. 框架筛选：framework="Ruoyi" && domain="edu.xxx.com"（找教育单位的若依管理系统）；2. 语言筛选：language="Java" && port:8080	http://finger.tidesec.com/
360 空间引擎（UAKE）	结合 360 威胁情报，侧重国内政企资产，支持漏洞标签与风险等级筛选	1. 漏洞关联：vuln:"Log4j2 RCE" && domain="edu.xxx.com"；2. 服务筛选：service:"MySQL" && port:3306 && country="CN"	https://quake.360.net/quake/#/index
Censys	侧重 SSL 证书与 HTTPS 资产，适合境外资产查询，证书信息维度丰富	1. 证书筛选：certificates.issuer.organization="Let's Encrypt" && services.port=443；2. 域名匹配：names:"edu.xxx.com" && services.port=443	https://search.censys.io/
绿盟威胁情报云	含资产威胁标签（如 "未授权访问""SQL 注入"），支持漏洞与资产关联查询	1. 风险筛选：risk_level="高危" && domain="edu.xxx.com"；2. 服务筛选：port:6379 && vuln:"Redis未授权访问"	https://ti.nsfocus.com/
零零信安（0.zone）	侧重 Web 资产与 API 接口，支持路径模糊匹配与参数筛选，适合挖掘隐藏接口	1. 接口筛选：path:"/api/login" && domain="edu.xxx.com"；2. 方法筛选：method="POST" && port:443	https://0.zone/
微步在线	含资产历史解析记录与威胁情报，支持 IP / 域名关联查询，适合溯源分析	1. 域名历史：domain="edu.xxx.com" && history=true（查看域名历史解析 IP）；2. IP 归属：ip="192.168.1.100" && org="XX教育网"	https://x.threatbook.com/
360 安全大脑	整合 360 全网资产数据，支持 "资产 + 威胁" 联动查询，适合政企安全态势感知	1. 资产汇总：domain="edu.xxx.com" && asset_type="web"；2. 威胁匹配：asset="edu.xxx.com" && threat_type="恶意请求"	https://ti.360.net/
Shodan	侧重端口服务与物联网设备（摄像头 / 服务器），境外资产覆盖广，适合非 Web 场景	1. 端口筛选：port:3389 country:"CN" os:"Windows Server 2019"（找国内 Windows 2019 服务器 RDP 端口）；2. 服务筛选：service:"MySQL" port:3306 -auth（未授权 MySQL）	https://www.shodan.io/

4.3 离线工具（深度挖掘）

适合无网络或精准爆破场景，需搭配字典使用：

工具名称	功能定位	安装依赖	命令示例	下载地址
SubDomainsBrute	高并发 DNS 爆破，识别泛解析	Python 2.7 + dnspython（pip install dnspython）	python subDomainsBrute.py -d edu.xxx.com -t 50 -o sub.txt（50 线程，输出到 sub.txt）	https://github.com/lijiejie/subDomainsBrute
OneForAll	多 API 调用（覆盖广），支持批量扫描、结果去重	Python 3.8+ + 依赖（pip install -r requirements.txt，依赖需从仓库获取）	python oneforall.py --targets domains.txt run（批量扫描 domains.txt 中的域名列表）	https://github.com/shmilylty/OneForAll
Subfinder	速度快，被动枚举（不主动发送 DNS 请求）	Go 语言二进制文件（无需编译，直接下载对应系统版本）	subfinder -d edu.xxx.com -o subfinder.txt（枚举目标域名，结果输出到 subfinder.txt）	https://github.com/projectdiscovery/subfinder/releases
Nmap	端口扫描与服务识别，支持子域名关联 IP 探测	跨平台（Windows/Linux/macOS），直接安装对应系统安装包	nmap -p 22,80,443,3306 -sV 192.168.1.100（扫描指定端口 + 探测服务版本）	https://nmap.org/download.html
Dirsearch	Web 目录 / 文件扫描（找后台、备份文件、敏感路径）	Python 3.x + 依赖（pip install -r requirements.txt）	python dirsearch.py -u http://192.168.1.100:8080 -e jsp,php -w dict.txt（指定目标 URL、后缀类型、字典）	https://github.com/maurosoria/dirsearch
LayerDomainFinder	多模式子域名挖掘（字典爆破、DNS 枚举），支持自定义字典与线程调整	Python 3.x + 依赖（pip install -r requirements.txt，依赖清单见 GitHub 仓库）	python LayerDomainFinder.py -d target.com -w custom_dict.txt -t 30（指定目标域名、自定义字典、30 线程）	https://github.com/euphrat1ca/LayerDomainFinder

4.4 集成系统（一站式收集）

适合新手或批量测试，整合 "子域名→端口→指纹→漏洞"：

系统名称	核心功能	部署方式	官网地址
灯塔（ARL）	子域名扫描、端口扫描、Web 指纹、漏洞探测（如 SQL 注入）	Docker 部署（推荐）：docker-compose up -d（需提前装 Docker）	https://github.com/ki9mu/ARL-plus-docker
水泽	侧重内网信息收集，支持资产测绘、漏洞扫描	本地部署（Windows/Linux），需配置 MySQL 数据库	https://github.com/0x727/ShuiZe_0x727
潮汐指纹	Web 指纹识别（开发语言 / 框架 / 组件版本），支持批量查询	在线使用或 Docker 部署：docker run -p 8080:8080 tidesec/fingerprint	https://finger.tidesec.com/

五、SSL 证书信息收集

SSL 证书不仅用于加密传输，还包含域名关联、颁发机构、有效期等关键信息，可辅助定位真实 IP、关联隐藏资产，是信息收集的重要补充。

5.1 收集目标

• 证书主体信息：使用者（域名 / 单位）、使用者备用名称（SAN，可能包含未公开子域名）；
• 证书属性：颁发机构（CA）、有效期（判断证书是否过期，影响资产可用性）、证书指纹（用于关联 IP）；
• 证书关联资产：通过证书指纹或 SAN 域名，挖掘使用同一证书的其他 IP / 域名（如子域名、旁站）。

5.2 收集方法与工具

收集场景	方法步骤	工具 / 链接示例
单个域名证书查询	1. 浏览器访问目标域名（HTTPS）；2. 点击地址栏 "小锁"→"证书"；3. 查看 "详细信息"（含 SAN、指纹、颁发者）	Chrome/Firefox 浏览器（自带证书查看功能）
批量证书枚举	1. 输入目标域名或关键词；2. 筛选证书类型（如 Let's Encrypt）；3. 导出证书列表及关联 IP	1. crt.sh（https://crt.sh/）：输入`%.xxx.com`枚举所有子域名证书；2. Censys（https://search.censys.io/）：语法`names:"xxx.com"`
证书指纹关联 IP	1. 从浏览器获取证书 "SHA-256 指纹"；2. 用指纹搜索使用该证书的服务器 IP	1. Censys：certificates.fingerprint_sha256="指纹值"；2. Shodan：ssl.fingerprint="指纹值"
过期证书挖掘	1. 筛选 "有效期已过期" 的证书；2. 关联目标单位域名关键词；3. 检查对应资产是否仍在线	1. crt.sh：输入xxx.com并勾选 "Expired"；2. 微步在线：domain="xxx.com" && cert.expired=true

5.3 核心利用场景

1. 挖掘隐藏子域名 ：证书 SAN 字段常包含未公开的测试环境子域名（如test.xxx.com、dev.xxx.com）；
2. 定位真实 IP：CDN 节点证书多为泛域名，而真实服务器可能使用独立证书，通过证书指纹可找到未被 CDN 覆盖的 IP；
3. 供应链风险排查：若第三方供应商与目标使用同一 CA 颁发的证书，可关联供应商资产，排查供应链漏洞。

六、服务器信息收集

服务器是资产的核心载体，需重点收集端口服务、操作系统、硬件配置等信息，为后续漏洞利用提供依据。

6.1 端口扫描

端口扫描需结合 "全端口覆盖 + 服务版本精准探测"，避免遗漏高危端口，常见扫描策略与工具配置如下：

扫描类型	目的	工具命令示例	注意事项
常用端口快速扫描	快速定位 Web / 数据库等服务	Nmap：nmap -p 1-10000 -sV -T4 IP（扫描 1-10000 端口，T4 速度级别）	适合初步探测，避免因全端口扫描触发目标防护设备告警
全端口深度扫描	发现非标准端口服务（如 8088、9090）	Masscan：masscan -p 1-65535 IP --rate=5000（全端口扫描，速率 5000 包 / 秒）	需控制扫描速率，避免占用目标带宽；建议在授权时间窗口内执行
服务版本精准识别	确认组件版本（如 Tomcat 8.5.78）	Nmap：nmap -p 8080 -sV --version-intensity 5 IP（ intensity 5 最高精度）	--version-intensity 数值越高，版本识别越精准，但耗时更长
端口状态判断	区分 "开放 / 过滤 / 关闭" 状态	Nmap：nmap -p 22,3389 -sS -Pn IP（SYN 半开扫描，跳过 Ping 检测）	-sS 扫描隐蔽性高，适合规避防火墙；-Pn 用于目标禁 Ping 场景

6.2 操作系统判断

通过操作系统特征（如 TTL、端口指纹、协议栈行为）可精准判断系统类型，为漏洞利用（如 Windows 漏洞、Linux 漏洞）提供方向：

判断方法	原理	操作步骤与示例
方法 1：Nmap 系统探测	Nmap 通过 TTL、TCP 窗口大小、端口开放特征匹配系统指纹库	命令：nmap -O -Pn IP（-O 开启系统探测，-Pn 跳过 Ping）； 结果示例：Running: Microsoft Windows 10/11
方法 2：大小写敏感性	Windows IIS 服务器对 URL 大小写不敏感（如/Admin与/admin相同），Linux Apache 敏感	1. 访问http://IP/Admin和http://IP/admin； 2. 若两者返回相同页面→Windows，返回 404 差异→Linux
方法 3：Ping TTL 分析	不同系统默认 TTL 值不同： - Windows：128（±2） - Linux：64（±2） - Unix：255（±2）	1. Windows 命令：ping -n 1 IP； 2. Linux 命令：ping -c 1 IP； 3. 示例：TTL=127→Windows，TTL=63→Linux
方法 4：TCP 协议栈特征	不同系统对 TCP 标志位（如 FIN、URG）的响应不同（如 Windows 对 FIN 包无响应，Linux 返回 RST）	工具：hping3 -S -p 80 IP（发送 SYN 包）； 分析响应包：若返回RST, ACK且窗口大小为 0→Windows
方法5：其他特征	网站的脚本类型，asp、aspx、jsp、php	phpinfo的信息泄露：绝对路径 c:/、var/；构造报错信息，从报错信息中获取绝对路径

七、网站深度信息收集

除 Web 指纹外，还需关注配置文件、反爬协议、报错信息等细节，挖掘隐藏漏洞入口。

7.1 CMS 与框架信息（补充利用思路）

已知 CMS 版本后，需结合 "漏洞查询 + 代码审计" 推进，具体流程如下：

1. 漏洞查询 ：
   • 平台：Exploit-DB（https://www.exploit-db.com/）、CVE Details（https://www.cvedetails.com/）、CNVD（https://www.cnvd.org.cn/）；
   • 语法：输入CMS名称 版本（如Dedecms 5.7），筛选 "远程代码执行""SQL 注入" 等高危漏洞；
   • 工具：PoC 框架（如 MSF：search dedecms）、专用漏洞利用工具（如 ThinkPHP 漏洞利用工具）。
2. 代码审计（针对二开 CMS） ：
   • 步骤：1. 下载对应版本 CMS 源码（如 Dedecms 5.7 官方源码）；2. 对比目标网站页面与源码差异（找二开代码）；3. 审计二开功能（如自定义上传接口、权限控制）；
   • 工具：Seay 源代码审计系统（适合 PHP）、IDEA（适合 Java）、Flawfinder（适合 C/C++）。
3. 源码获取（若无法直接下载） ：
   • 方法：1. 目录扫描找备份文件（如/wwwroot.zip、/backup.sql）；2. 利用文件读取漏洞（如 PHP 伪协议php://filter）下载配置文件；3. 社工获取（如运维人员备份的源码）。

常见 CMS（内容管理系统）分类汇总表

CMS 名称	类型	用途	特点	典型场景	官方地址
WordPress	开源 CMS	博客、企业网站、电子商务等	全球市场份额 40%+，插件 / 主题丰富，易用性强，需加强安全防护	个人博客、内容管理门户	https://wordpress.org
Joomla	开源 CMS	多语言网站、复杂内容门户	功能强于 WordPress，扩展 / 模板丰富，学习曲线较陡	多语言企业官网、新闻门户	https://www.joomla.org
Drupal	开源 CMS	高性能、大型网站	高度自定义，适合开发者，性能优、安全性强，支持复杂内容模型	政府站点、大型社区	https://www.drupal.org
Ghost	开源 CMS	简约型博客	专注内容创作，基于 Node.js，现代化性能优越，界面简洁	内容创作者个人网站	https://ghost.org
TYPO3	开源 CMS	企业网站	稳定且可扩展性强，适合复杂需求，学习成本高，需专业开发知识	企业内容管理系统	https://typo3.org
Adobe Experience Manager (AEM)	商业 CMS	高端企业网站管理	功能强大，支持多渠道内容交付，与 Adobe 生态无缝整合，价格昂贵	跨国企业品牌站点	https://business.adobe.com/products/experience-manager.html
Sitecore	商业 CMS	内容和客户体验管理	支持个性化内容交付，提供强大的分析和营销工具	大型电子商务、内容营销网站	https://www.sitecore.com
Kentico	商业 CMS	中小型企业网站	集成 A/B 测试等营销功能，提供灵活的内容管理工具	企业营销站点	https://www.kentico.com
Discuz!	中国本地化 CMS	论坛、社区	国内用户最多的论坛软件，支持强插件，官方已停止维护但社区仍活跃	用户社区、论坛型网站	https://www.discuz.net
织梦 CMS (Dedecms)	中国本地化 CMS	内容管理门户、新闻网站	简单易用，模板丰富，安全性较弱需额外防护	中小型企业官网、内容发布平台	https://www.dedecms.com
PHPWind	中国本地化 CMS	论坛、轻量级社区	易于部署，资源占用小，在小型社区中较受欢迎	地方性小型论坛	https://www.phpwind.net
PageAdmin	中国本地化 CMS	企业官网	提供免费版本，中文界面，易于学习和操作，适配中小企业需求	企业展示型网站	https://www.pageadmin.net
74CMS	中国本地化 CMS	招聘网站（企业招聘、第三方招聘平台）	专注招聘场景，集成职位发布、简历管理、应聘跟踪等模块，中文界面友好	企业招聘站、第三方招聘平台	https://www.74cms.com
Magento	专用型 CMS（电商）	电子商务	专注电商场景，支持多店铺、复杂商品管理，扩展性强	中大型电商网站	https://magento.com
Shopify	专用型 CMS（电商）	一站式电子商务平台	无需技术开发，提供托管服务，集成支付、物流等工具	个人 / 企业独立电商站	https://www.shopify.com
MediaWiki	专用型 CMS（维基）	维基百科式网站	支持多人协作编辑，适合知识沉淀，开源免费	行业百科、企业知识库	https://www.mediawiki.org
OpenCart	专用型 CMS（电商）	轻量级电子商务	体积小、部署快，适合简单电商需求，插件生态较完善	小型电商网站、个人店铺	https://www.opencart.com

7.2 反爬协议（robots.txt）分析

robots.txt 用于指定搜索引擎禁止抓取的路径，常暴露敏感目录，收集与利用方法如下：

操作步骤	示例与分析	利用场景
1. 访问 robots.txt	地址：http://域名/robots.txt； 示例内容：Disallow: /admin/、Disallow: /backup/	直接定位后台路径（/admin）、备份文件目录（/backup）
2. 验证路径有效性	访问http://域名/admin，若返回登录页→有效；若返回 404→路径已变更但未更新 robots.txt	排除无效路径，聚焦真实可访问的敏感目录
3. 挖掘隐藏路径	部分网站会在 robots.txt 中隐藏测试环境路径（如Disallow: /test/）	测试环境常缺乏防护，可通过/test路径渗透

7.3 控制器报错信息利用

通过构造无效请求触发控制器报错，可获取框架版本、绝对路径、数据库配置等敏感信息：

触发方式	示例请求 URL	报错信息价值
无效控制器参数	http://IP/index.php?c=TestController	若报错 "Class 'TestController' not found"，暴露框架为 ThinkPHP；同时显示绝对路径（如/var/www/html/）
空参数注入	http://IP/index.action?userId=	Java Struts2 框架可能报错 "Invalid integer parameter"，暴露框架版本
数据库参数错误	http://IP/list.php?id=abc（预期为数字）	MySQL 报错 "You have an error in your SQL syntax"，暴露数据库类型及连接账号（如root@localhost）

7.4 数据库类型判断（补充细节）

除端口与脚本语言外，可通过 "报错信息、文件后缀、配置泄露" 精准判断数据库类型：

判断依据	操作与示例	结论
报错信息	1. 构造 SQL 注入：http://IP/index.php?id=1'； 2. 报错内容： - "MySQL server version"→MySQL； - "Microsoft JET Database Engine"→Access； - "ORA-01756"→Oracle	最直接的判断方式，需触发数据库报错
配置文件泄露	1. 目录扫描找config.php/application.yml； 2. 内容示例： - $db_type = 'mysql'→MySQL； - spring.datasource.driver-class- name=oracle.jdbc.OracleDriver→Oracle	需获取配置文件权限，适合有文件读取漏洞场景
备份文件后缀	1. 扫描后缀：.mdb（Access）、.mdf（SQL Server）、.sql（MySQL 备份）； 2. 示例：/db_backup/20250101.mdb→Access	备份文件常包含完整数据库结构，可直接下载分析

问：现在知道目标的CMS版本，该如何下一步利用？

1、根据版本去互联网找相关的漏洞及利用POC

在本地部署一下TP框架使用的漏洞利用工具，自动化利用

百度、exploit-db漏洞库、cve漏洞库、cnnvd漏洞库、白阁文库、微步社区POC等等

2、如果找了，漏洞修复了，同时他又在原本代码基础上进行了二开：

a、找对应版本的源代码下载本地部署，然后去代码审计

b、想办法获取对方的源代码（文件包含：读文件、扫描本地（目录扫描）有没有压缩包）

八、真实 IP 信息收集

突破 CDN 定位真实 IP 是渗透测试的关键，补充 "host 碰撞、全网扫描" 等进阶方法：

8.1 Host 碰撞（精准定位真实 IP）

原理：若目标服务器绑定多个域名，用 "IP + 域名" 组合请求（Host 头伪造），若返回目标网站内容，则该 IP 为真实 IP。

操作步骤	工具与命令示例	验证方式
1. 准备 IP 列表	来源：1. DNS 历史解析（ViewDNS）；2. 同网段 C 段扫描（Nmap 192.168.1.0/24）；3. 空间引擎导出（FOFA ip="192.168.1.*"）	整理 IP 列表为ip_list.txt（每行一个 IP）
2. 执行 Host 碰撞	工具：Hostsscan（https://github.com/fofapro/Hostsscan）； 命令：python hostsscan.py -t xxx.com -i ip_list.txt -p 80,443	-t 指定目标域名，-i 输入 IP 列表，-p 指定端口
3. 验证结果	若输出 "Match: IP 返回 xxx.com 首页内容"→该 IP 为真实 IP； 若返回 "403 Forbidden"→IP 有效但需进一步验证（如换端口）	浏览器访问http://IP，对比与目标域名首页是否一致

8.2 全网扫描与空间引擎补充（FOFA 常用语法）

通过空间引擎全网筛选目标资产，补充真实 IP 线索，常用 FOFA 语法如下：

筛选目标	FOFA 语法示例	用途
目标域名关联 IP	domain="xxx.com" && is_ip=true	筛选所有解析到目标域名的 IP（含历史 IP）
排除 CDN 节点	domain="xxx.com" && !server="cloudflare"	排除 Cloudflare 等 CDN 节点，缩小真实 IP 范围
同单位备案 IP	icp.name="XX单位" && country="CN"	筛选目标单位备案的所有 IP（常为同一 C 段，含真实服务器）
特定端口服务	port="3306" && domain="xxx.com"	筛选目标域名关联的 MySQL 端口 IP（数据库服务器多为真实 IP）

8.3 邮件服务器真实 IP 判定（补充细节）

若邮服域名（如mail.xxx.com）有 CDN，可通过 "错误邮件回连" 获取真实 IP：

1. 发送错误邮件 ：
   • 用个人邮箱（如 QQ 邮箱）发送邮件到目标邮服（如info@xxx.com），收件人故意填写错误格式（如info@xxx.com.invalid）；
   • 错误格式会触发 "邮件无法送达"，目标邮服会自动发送 "退信" 到个人邮箱。
2. 分析退信邮件头 ：
   • 打开退信邮件→"更多"→"查看邮件原文"；
   • 查找Received: from [IP地址] (helo=mail.xxx.com)，其中IP地址即为邮件服务器真实 IP。
3. 验证 IP ：
   • 用 Nmap 扫描该 IP 的 25（SMTP）、110（POP3）端口，确认是否为邮件服务；
   • 访问http://IP:80，查看是否关联目标单位页面（部分邮件服务器同时提供 Web 管理界面）。

8.4在线dns解析记录

 https://viewdns.info/iphistory/?domain=#梯子（出口没了）
 https://dnsdb.io/zh-cn/
 https://securitytrails.com/#梯子（出口没了）
 https://x.threatbook.cn/微步
 http://toolbar.netcraft.com/site_report?url=
 https://viewdns.info/iphistory/?domain=
 https://site.ip138.com/

九、旁站与 C 段补充工具与实战技巧

9.1 专用扫描工具（补充使用方法）

工具名称	核心功能	操作步骤与示例
御剑后台扫描器	旁站探测 + 后台路径扫描	1. 输入目标 IP；2. 勾选 "旁站探测"；3. 启动扫描，结果含旁站域名、标题、状态码；4. 对旁站执行 "后台路径扫描"（如/admin、/login）
北极熊 C 段扫描器	C 段 IP 存活检测 + 服务识别	1. 输入 C 段（如192.168.1.0/24）；2. 选择扫描端口（80、443、3389）；3. 启动后显示 "IP + 端口 + 服务 + 网站标题"；4. 标记目标单位相关资产（标题含单位名称）
WebScan 在线平台	旁站 + C 段一体化查询	1. 访问 https://www.webscan.cc/；2. 输入目标 IP；3. 查看 "同 IP 网站"（旁站）和 "同 C 段网站"；4. 导出结果为 Excel 便于分析

9.2 实战技巧：从旁站 / C 段突破目标

1. 旁站漏洞利用 ：
   • 若旁站存在 "文件上传漏洞"，上传 webshell 后，通过服务器内网访问目标网站（如http://127.0.0.1）；
   • 若旁站为测试环境，可能使用与目标相同的账号密码（如admin/123456），可尝试复用登录目标后台。
2. C 段横向渗透 ：
   • 扫描 C 段内开放 3389（RDP）、22（SSH）端口的服务器，尝试弱口令爆破（工具：Hydra）；
   • 若 C 段内某服务器有 "内网穿透工具"（如 frp），可利用该工具进入目标内网，定位核心资产。
3. 资产关联验证 ：
   • 用icp.chinaz.com查询旁站 / C 段 IP 的备案单位，仅关注与目标单位一致的资产；
   • 对比旁站与目标网站的 "服务器响应头"（如Server、X-Powered-By），若一致则大概率为同一运维团队管理，漏洞类型可能相似。

十、信息收集总结与实战流程

10.1 核心流程（从单资产到组织级）

1. 合规确认：获取《渗透测试授权书》，明确范围与时间窗口；
2. 单资产表层探测：域名备案→CDN 检测→基础端口扫描→子域名枚举；
3. 深层资产定位：突破 CDN 获取真实 IP→全端口扫描→Web 指纹识别→SSL 证书关联；
4. 组织级扩展：人员信息收集→业务系统定位→关联单位 / 供应商挖掘→信息泄露排查；
5. 资产整理：按 "高价值（如财务系统）、中价值（如 OA）、低价值（如宣传网站）" 分类，形成攻击面地图。

10.2 关键注意事项

1. 避免触发防护：扫描速率控制在 1000 包 / 秒以内，避免使用单一 IP 长时间扫描；
2. 数据安全：收集的敏感信息（如账号、病历）加密存储，测试后彻底删除；
3. 动态更新：定期重新查询 DNS 历史、SSL 证书，目标资产可能动态变更（如更换 CDN、新增子域名）。

10.3 常用信息收集清单（可直接复用）

资产类型	必查项
域名	备案单位、WHOIS 注册人、DNS 历史解析、robots.txt、SSL 证书 SAN 字段
IP	真实 IP、开放端口及服务、操作系统、旁站 / C 段关联资产、端口服务版本
Web 应用	CMS / 框架版本、后台路径、开发语言、报错信息、上传接口、数据库类型
组织信息	关键人员（IT / 财务 / 高管）、核心业务系统、关联单位、供应商、信息泄露文档
移动端（APP / 小程序）	备案主体、API 接口、反编译源码、硬编码账号、依赖 SDK 漏洞

干货：在js中获取路径接口

1.urlfinder

相关文章：探索网页深处的 URL 神器 、URLFinder: 高效无侵入的 URL 采集工具、【亲测免费】URLFinder 使用教程

2.jsfinder

相关文章:JSFinder: 高效提取网站 JS 文件中 URL 和子域名工具

3.findsomething插件

相关文章:FindSomething 开源项目教程