渗透测试信息收集方法

约 10 分钟读完

一、被动信息收集(不碰目标,0风险)

目标:用OSINT把目标轮廓画出来,收集子域、IP段、邮箱、泄露凭据、技术栈等。

步骤 工具/平台(2025最新推荐) 关键输出
1. 子域枚举 Subfinder + Amass + OneForAll + Chaos + Findomain + dnsdb.io + crt.sh + SecurityTrails 所有历史+现存子域(导出≥10万条很正常)
2. 子域爆破 dnsrepo + shuffledns + puredns + dnsx -wordlist=2w.txt 爆破出泛解析漏掉的子域
3. 证书透明度 crt.sh / censys.io / certspotter / facebook ct 历史子域、内部系统域名
4. 搜索泄露子域 Google Dork + GitHub + Shodan + FOFA + Quake + Hunter.io + ZoomEye OA、VPN、GitLab、Jenkins等高危资产
5. 邮件收集 theHarvester + EmailHarvester + Hunter.io + LinkedIn + GitHub搜索 员工邮箱 → 后续社工/密码喷洒
6. 泄露密码 DeHashed + Snusbase + Leak-Lookup + Telegram泄露频道 历史明文/哈希密码,直接尝试登录
7. 历史解析记录 SecurityTrails / DNSHistory / dnsdb.io 已下线但可能还存活的系统
8. 指纹预识别 Chaos + Wappalyzer导出 + Favicon Hash(mmdb) 提前知道用了什么框架、CDN、云服务

二、主动信息收集(轻量触碰,控制频率)

步骤 工具/命令 输出
1. 子域存活检查 httpx-toolkit -l subdomains.txt -threads 500 -mc 200,301,302 -title -tech-detect 存活域名 + 标题 + WAF + 技术栈
2. 端口&服务扫描 nmap -iL alive.txt -Pn -p- --min-rate 5000 -oA fullport 全端口+服务版本+快速脚本
3. 高危端口重点扫描 nmap -sV -sC --script=vuln -p 21,22,23,80,443,3306,3389,5432,6379,8080,9200,11211,27017 弱口令、已知漏洞扫描
4. 网页爬虫+截图 gowitness / aquatone / httpscreenshot / EyeWitness 全站截图,快速发现后台、未授权访问
5. 目录&文件扫描 ffuf / dirsearch / feroxbuster -w raft-large-files+dirs.txt -t 200 -recursion 备份文件、.git、.env、api文档
6. JS敏感信息挖掘 LinkFinder / JSFinder / SecretFinder / jsluice API端点、密钥、内部域名、admin路径
7. WAF/CDN识别 wafw00f / whatwaf / cloudflair / CloudBucket 后续决定绕过策略
8. 云资产枚举 CloudEnum / S3Scanner / AzureHound / gcp_enum 泄露的S3、Azure Blob、GCS桶

三、深度资产整理与分组(最重要一步!)

把所有资产按价值分级,否则后面打不过来。

资产等级 特征 优先级 典型例子
★★★★★ 未备案、无CDN、无WAF、直连公网IP 最高 *.dev *.test *.intranet
★★★★☆ 有CDN/WAF,但标题暴露OA、VPN、GitLab 钉钉、Jenkins、Seeyou、Citrix
★★★☆☆ 泛解析、状态码200但返回默认页 需要核实是否真实业务
★★☆☆☆ 挂云WAF(阿里云、Cloudflare) 后续看是否能绕过
★☆☆☆☆ 404、403、返回运营商拦截页 最低 可放弃

四、最终输出成果清单(交付/复盘必备)

  • alive_hosts.txt(存活域名+标题+WAF)
  • screenshot/(全站截图)
  • high_value_targets.xlsx(人工标注高危资产)
  • ports_top1000.nmap(重点端口结果)
  • sensitive_dirs.txt(后台、.git、备份文件等)
  • leaked_passwords.txt(从泄露库查到的)

收集内容

渗透测试/红队行动中,**信息收集(Recon)**是决定成败的最核心阶段。以下是2025年实战中最全、最细的信息收集内容清单,分为11大类,每一类都直接决定后续能否快速拿到壳。

序号 信息收集大类 具体内容(必收项目) 实战价值(为什么必须收集)
1 域名与子域资产 根域名、当前所有子域、历史子域、泛解析子域、三级、四级、五级子域、测试/开发/灰度域名 90%的突破口都在子域(dev、test、admin、git、vpn等)
2 IP及网段信息 子域解析的IP、IP归属(自有机房/阿里云/腾讯云/AWS/海外)、C段、B段存活主机、旁站、反向域名 发现未备案系统、内网泄露、跳板机、旁站漏洞
3 端口与服务指纹 开放端口、服务版本(Nginx/Apache/IIS/Tomcat/Redis等)、SSL证书信息、Banner、标题 快速发现弱口令、未授权、已知CVE、Redis写壳、phpMyAdmin等
4 Web应用指纹 CMS(WordPress、织梦、泛微、致远)、框架(SpringBoot、Laravel、ThinkPHP)、前端(Vue/React)、JS库、WAF、CDN、服务器类型 判断攻击面、准备对应exp、决定WAF绕过策略
5 目录与文件 后台路径、上传点、备份文件(.swp、.bak、zip、rar)、.git/.svn泄露、配置文件、api文档、robots.txt、sitemap.xml 90%能直接getshell或get敏感信息
6 JS与API端点 JS文件中隐藏的API、内网IP、密钥、调试接口、未文档化接口、GraphQL端点 发现未授权接口、逻辑漏洞、token、内部系统地址
7 敏感信息泄露 .env、config.php、debug.log、/proc/self/fd、备份数据库、接口返回手机号/身份证/订单 直接拿数据库密码、AK/SK、用户数据
8 邮箱与人员信息 员工邮箱、姓名、部门、手机号、社交账号(微信、LinkedIn、GitHub)、历史泄露密码 社工、密码喷洒、钓鱼、找内鬼
9 云资产与桶 AWS S3、阿里云OSS、腾讯COS、Azure Blob、GCS等公开桶、云主机、云数据库、CDN回源IP 直接下载源代码、数据库备份、拿AK进一步横向
10 中间件与组件未授权/弱口令 Redis、MongoDB、Memcached、Docker、Kubernetes、Jenkins、Zookeeper、Dubbo、ElasticSearch等 直出shell或get全网权限
11 其他高价值资产 VPN、邮件系统、OA、ERP、堡垒机、GitLab、Jenkins、Confluence、Jira、WebMail、phpMyAdmin、WebLogic控制台等 这些系统基本都一个漏洞/弱口令就直达内网域控

2025年信息收集重点变化(必须关注的新内容)

新增/重点类型 为什么2025年必须收
GraphQL接口 大量新系统使用,几乎不做过滤,极易注入+未授权
内网域名泄露 JS里经常出现 xxx.corp.xxx.com、xxx.internal
Serverless函数地址 阿里云FC、腾讯SCF、AWS Lambda直接暴露公网
容器与K8s资产 Dashboard、Harbor、etcd、kubelet未授权暴增
AI接口与大模型调用地址 很多公司自研AI接口直接暴露,参数可控可RCE
微信小程序/企业微信后台 后端常复用主站数据库,漏洞影响更大
钉钉/飞书审批流接口 经常直连数据库,SQL注入+文件上传无过滤
← Java Agent内存马 SQL注入漏洞挖掘实战 →