很多新手上来就掏工具扫漏洞,结果忙活半天一无所获。
真相是:渗透测试70%的功力,都在信息收集阶段。
全文约1900字,阅读约6分钟。这篇教你像侦探一样"踩点"。
一、先讲一个真实故事
去年某SRC平台上,一个新手白帽子提交了一个严重漏洞,拿到了8000元奖金。他用的技术难吗?一点都不难——他只是做了极其细致的信息收集。
过程是这样的:
他发现目标网站的子域名里有一个
test-company.xxx.com(测试环境)。这个测试环境使用了默认账户密码(admin/123456)。
登录后台后,他发现系统里存了大量内部员工通讯录,包括高管手机号和邮箱。
他顺着这些信息,又找到了该公司的企业邮箱登录入口,最终组合出了一条完整的攻击链路。
你看,整个过程中他没有使用任何高端漏洞利用技术。他会的就是:子域名枚举 + 默认密码尝试 + 信息关联分析。
这就是信息收集的价值。
二、信息收集到底在收什么?
用大白话说,信息收集就是在正式攻击之前,尽可能多地了解目标。就像侦探破案要先走访现场、调取监控一样。
你需要收集的目标信息包括:
| 类别 | 具体内容 | 为什么要收 |
|---|---|---|
| 域名/IP | 主域名、子域名、CDN背后的真实IP | 确定攻击范围 |
| 端口服务 | 开放了哪些端口、跑了什么服务 | 寻找潜在突破口 |
| 网站架构 | 用了什么Web服务器、编程语言、数据库 | 针对性地找漏洞 |
| 敏感目录 | 后台入口、未授权页面、备份文件 | 捡漏式拿权限 |
| 指纹信息 | CMS版本、框架类型、组件名称 | 搜索已知漏洞POC |
| 人员信息 | 邮箱、手机号、社交账号 | 钓鱼和社会工程学 |
记住一句话:你收集到的信息越全,后面的渗透就越轻松。
三、新手必学的6大信息收集手段(附工具)
🔍 手段一:子域名收集
子域名就是mail.xxx.com、admin.xxx.com这类。很多时候主站防御严密,但子站(尤其是测试站)漏洞百出。
工具推荐:
Layer子域名挖掘机:图形界面,傻瓜式操作,新手首选
OneForAll:功能强大,但需要Python环境,适合进阶
手工方法:在Google搜索site:xxx.com -www,也能找到不少子域名。
🔍 手段二:真实IP查找
很多网站用了CDN(内容分发网络),你ping出来的IP不是真实服务器IP。绕过CDN找真实IP,是渗透测试中的重要一环。
常用方法:
查询历史DNS解析记录(网站:DnsDB、SecurityTrails)
看子域名的IP(子域名可能没用CDN)
通过邮件头信息找IP(让目标给你发一封邮件,查看邮件源码)
🔍 手段三:端口扫描
每个开放的端口都可能是一个"门"。常见的危险端口:
| 端口 | 服务 | 风险 |
|---|---|---|
| 21 | FTP | 匿名登录、弱口令 |
| 22 | SSH | 弱口令爆破 |
| 3306 | MySQL | 数据库弱口令、未授权访问 |
| 6379 | Redis | 未授权访问,可直接拿权限 |
| 27017 | MongoDB | 未授权访问 |
工具推荐:Nmap——端口扫描界的"瑞士军刀"。入门命令:
text
nmap -sV -p- 目标IP
-sV探测服务版本,-p-扫描所有端口(1-65535)。
🔍 手段四:网站指纹识别
指纹就是网站的"身份证"——用了什么CMS(WordPress、Discuz)、什么框架(ThinkPHP、Spring Boot)、什么Web服务器(Nginx、Apache)。
知道了指纹,你就能去搜这个版本有什么已知漏洞,直接拿POC打。
工具推荐:
Wappalyzer(浏览器插件):打开网页就能看到技术栈
WhatWeb(命令行工具):信息更详细
🔍 手段五:敏感目录扫描
网站有很多目录是不对外的,比如后台登录页、phpinfo页面、备份文件压缩包等。扫出来就是捡到宝。
工具推荐:
dirsearch:Python写的目录扫描工具,速度快、字典全
御剑:图形界面中文版,新手友好
常用命令(dirsearch):
text
dirsearch -u https://目标网站 -e php,html,txt,zip
🔍 手段六:Google Hacking(谷歌黑客语法)
直接用搜索引擎找敏感信息,是成本最低的信息收集方式。
常用语法:
site:xxx.com 密码→ 找目标网站上的"密码"关键词filetype:log 目标域名→ 找日志文件intitle:"后台管理" site:xxx.com→ 找后台入口inurl:phpinfo.php→ 找phpinfo文件(会暴露大量系统信息)
⚠️ 注意:Google Hacking的威力巨大,请务必在合法授权的范围内使用。
四、信息收集的"最小可行流程"(新手照做)
如果你现在面对一个目标完全不知道从哪下手,按这个5步流程来:
先用Wappalyzer看一眼网站用了什么技术栈(2分钟)
再用Layer挖一下子域名,把结果保存下来(10分钟)
用Nmap扫一波端口,看开了哪些服务(5分钟)
访问所有找到的子域名和端口服务,人工逛一遍,找登录口、上传点、特殊功能(30分钟)
整理成一份报告,把收集到的所有信息归纳为:域名列表、IP端口列表、网站指纹、发现的敏感入口
完成这5步,你对目标的了解已经超过了80%的新手。
五、信息收集工具大礼包(一键收藏)
| 工具 | 用途 | 难度 |
|---|---|---|
| Nmap | 端口扫描 | ⭐⭐ |
| Layer子域名挖掘机 | 子域名收集 | ⭐ |
| OneForAll | 子域名收集 | ⭐⭐⭐ |
| Wappalyzer | 指纹识别 | ⭐ |
| dirsearch | 目录扫描 | ⭐⭐ |
| 御剑 | 目录扫描 | ⭐ |
| SecurityTrails | 历史DNS查询 | ⭐ |
写在最后:信息收集是"笨功夫",但最值得下功夫
很多新手有个误区——拿到目标就想直接SQL注入、直接上传木马。结果是什么呢?扫了半天扫不出漏洞,然后灰心丧气。
真正的高手,拿到目标后前半天都在做信息收集。他们把目标摸得透透的,再精准出击,一发入魂。
信息收集做得越彻底,后续渗透就越像"开卷考试"。
今天的作业:挑一个你自己拥有的网站(或者你学校/公司的官网,仅限公开信息),按上面的5步流程走一遍,把收集到的信息整理成文档。
相信我,这个习惯会让你受益整个职业生涯。
—— 你的网安实战导师
📌下一期预告:第六弹·漏洞入门——《亲手挖出第一个SQL注入漏洞,其实就这5步》。