一、被动信息收集(不碰目标,0风险)
目标:用OSINT把目标轮廓画出来,收集子域、IP段、邮箱、泄露凭据、技术栈等。
| 步骤 |
工具/平台(2025最新推荐) |
关键输出 |
| 1. 子域枚举 |
Subfinder + Amass + OneForAll + Chaos + Findomain + dnsdb.io + crt.sh + SecurityTrails |
所有历史+现存子域(导出≥10万条很正常) |
| 2. 子域爆破 |
dnsrepo + shuffledns + puredns + dnsx -wordlist=2w.txt |
爆破出泛解析漏掉的子域 |
| 3. 证书透明度 |
crt.sh / censys.io / certspotter / facebook ct |
历史子域、内部系统域名 |
| 4. 搜索泄露子域 |
Google Dork + GitHub + Shodan + FOFA + Quake + Hunter.io + ZoomEye |
OA、VPN、GitLab、Jenkins等高危资产 |
| 5. 邮件收集 |
theHarvester + EmailHarvester + Hunter.io + LinkedIn + GitHub搜索 |
员工邮箱 → 后续社工/密码喷洒 |
| 6. 泄露密码 |
DeHashed + Snusbase + Leak-Lookup + Telegram泄露频道 |
历史明文/哈希密码,直接尝试登录 |
| 7. 历史解析记录 |
SecurityTrails / DNSHistory / dnsdb.io |
已下线但可能还存活的系统 |
| 8. 指纹预识别 |
Chaos + Wappalyzer导出 + Favicon Hash(mmdb) |
提前知道用了什么框架、CDN、云服务 |
二、主动信息收集(轻量触碰,控制频率)
| 步骤 |
工具/命令 |
输出 |
| 1. 子域存活检查 |
httpx-toolkit -l subdomains.txt -threads 500 -mc 200,301,302 -title -tech-detect |
存活域名 + 标题 + WAF + 技术栈 |
| 2. 端口&服务扫描 |
nmap -iL alive.txt -Pn -p- --min-rate 5000 -oA fullport |
全端口+服务版本+快速脚本 |
| 3. 高危端口重点扫描 |
nmap -sV -sC --script=vuln -p 21,22,23,80,443,3306,3389,5432,6379,8080,9200,11211,27017 |
弱口令、已知漏洞扫描 |
| 4. 网页爬虫+截图 |
gowitness / aquatone / httpscreenshot / EyeWitness |
全站截图,快速发现后台、未授权访问 |
| 5. 目录&文件扫描 |
ffuf / dirsearch / feroxbuster -w raft-large-files+dirs.txt -t 200 -recursion |
备份文件、.git、.env、api文档 |
| 6. JS敏感信息挖掘 |
LinkFinder / JSFinder / SecretFinder / jsluice |
API端点、密钥、内部域名、admin路径 |
| 7. WAF/CDN识别 |
wafw00f / whatwaf / cloudflair / CloudBucket |
后续决定绕过策略 |
| 8. 云资产枚举 |
CloudEnum / S3Scanner / AzureHound / gcp_enum |
泄露的S3、Azure Blob、GCS桶 |
三、深度资产整理与分组(最重要一步!)
把所有资产按价值分级,否则后面打不过来。
| 资产等级 |
特征 |
优先级 |
典型例子 |
| ★★★★★ |
未备案、无CDN、无WAF、直连公网IP |
最高 |
*.dev *.test *.intranet |
| ★★★★☆ |
有CDN/WAF,但标题暴露OA、VPN、GitLab |
高 |
钉钉、Jenkins、Seeyou、Citrix |
| ★★★☆☆ |
泛解析、状态码200但返回默认页 |
中 |
需要核实是否真实业务 |
| ★★☆☆☆ |
挂云WAF(阿里云、Cloudflare) |
低 |
后续看是否能绕过 |
| ★☆☆☆☆ |
404、403、返回运营商拦截页 |
最低 |
可放弃 |
四、最终输出成果清单(交付/复盘必备)
- alive_hosts.txt(存活域名+标题+WAF)
- screenshot/(全站截图)
- high_value_targets.xlsx(人工标注高危资产)
- ports_top1000.nmap(重点端口结果)
- sensitive_dirs.txt(后台、.git、备份文件等)
- leaked_passwords.txt(从泄露库查到的)
收集内容
渗透测试/红队行动中,**信息收集(Recon)**是决定成败的最核心阶段。以下是2025年实战中最全、最细的信息收集内容清单,分为11大类,每一类都直接决定后续能否快速拿到壳。
| 序号 |
信息收集大类 |
具体内容(必收项目) |
实战价值(为什么必须收集) |
| 1 |
域名与子域资产 |
根域名、当前所有子域、历史子域、泛解析子域、三级、四级、五级子域、测试/开发/灰度域名 |
90%的突破口都在子域(dev、test、admin、git、vpn等) |
| 2 |
IP及网段信息 |
子域解析的IP、IP归属(自有机房/阿里云/腾讯云/AWS/海外)、C段、B段存活主机、旁站、反向域名 |
发现未备案系统、内网泄露、跳板机、旁站漏洞 |
| 3 |
端口与服务指纹 |
开放端口、服务版本(Nginx/Apache/IIS/Tomcat/Redis等)、SSL证书信息、Banner、标题 |
快速发现弱口令、未授权、已知CVE、Redis写壳、phpMyAdmin等 |
| 4 |
Web应用指纹 |
CMS(WordPress、织梦、泛微、致远)、框架(SpringBoot、Laravel、ThinkPHP)、前端(Vue/React)、JS库、WAF、CDN、服务器类型 |
判断攻击面、准备对应exp、决定WAF绕过策略 |
| 5 |
目录与文件 |
后台路径、上传点、备份文件(.swp、.bak、zip、rar)、.git/.svn泄露、配置文件、api文档、robots.txt、sitemap.xml |
90%能直接getshell或get敏感信息 |
| 6 |
JS与API端点 |
JS文件中隐藏的API、内网IP、密钥、调试接口、未文档化接口、GraphQL端点 |
发现未授权接口、逻辑漏洞、token、内部系统地址 |
| 7 |
敏感信息泄露 |
.env、config.php、debug.log、/proc/self/fd、备份数据库、接口返回手机号/身份证/订单 |
直接拿数据库密码、AK/SK、用户数据 |
| 8 |
邮箱与人员信息 |
员工邮箱、姓名、部门、手机号、社交账号(微信、LinkedIn、GitHub)、历史泄露密码 |
社工、密码喷洒、钓鱼、找内鬼 |
| 9 |
云资产与桶 |
AWS S3、阿里云OSS、腾讯COS、Azure Blob、GCS等公开桶、云主机、云数据库、CDN回源IP |
直接下载源代码、数据库备份、拿AK进一步横向 |
| 10 |
中间件与组件未授权/弱口令 |
Redis、MongoDB、Memcached、Docker、Kubernetes、Jenkins、Zookeeper、Dubbo、ElasticSearch等 |
直出shell或get全网权限 |
| 11 |
其他高价值资产 |
VPN、邮件系统、OA、ERP、堡垒机、GitLab、Jenkins、Confluence、Jira、WebMail、phpMyAdmin、WebLogic控制台等 |
这些系统基本都一个漏洞/弱口令就直达内网域控 |
2025年信息收集重点变化(必须关注的新内容)
| 新增/重点类型 |
为什么2025年必须收 |
| GraphQL接口 |
大量新系统使用,几乎不做过滤,极易注入+未授权 |
| 内网域名泄露 |
JS里经常出现 xxx.corp.xxx.com、xxx.internal |
| Serverless函数地址 |
阿里云FC、腾讯SCF、AWS Lambda直接暴露公网 |
| 容器与K8s资产 |
Dashboard、Harbor、etcd、kubelet未授权暴增 |
| AI接口与大模型调用地址 |
很多公司自研AI接口直接暴露,参数可控可RCE |
| 微信小程序/企业微信后台 |
后端常复用主站数据库,漏洞影响更大 |
| 钉钉/飞书审批流接口 |
经常直连数据库,SQL注入+文件上传无过滤 |