渗透测试的本质是信息收集，在渗透测试中信息收集的质量直接关系到渗透测试成果的与否。在对系统进行渗透测试前的信息收集是通过各种方式获取所需要的信息，收集的信息越多对目标进行渗透的优势越有利。通过利用获取到的信息对系统进行渗透。只有掌握了足够多的目标信息收集的方法才能更好的对目标系统进行渗透。正所谓要知彼知己百战不殆。

信息收集的主要目的

识别目标
信息收集可以帮助渗透测试人员识别目标，了解目标的业务、产品、服务、操作系统、应用程序和基础设施等信息，进而确定测试的范围和目标。
确定网络拓扑通过信息收集，可以获取目标系统的网络拓扑信息，包括主机、路由器、交换机、防火墙等设备的地址、端口和服务等信息，了解网络拓扑结构，找到测试的入口和出口，进而实现漏洞扫描、漏洞利用和提出安全建议等工作。
了解目标系统安全机制
信息收集可以帮助渗透测试人员了解目标系统的安全机制，包括防火墙、入侵检测系统、访问控制机制等信息，进而确定测试的方案和策略。
确定攻击面
通过信息收集，可以识别目标系统的弱点和漏洞，确定攻击面，进而选择最优的攻击路径和漏洞利用方式，提高测试效率和成功率。

信息收集的分类

从信息收集方式分类可将信息收集分为两大类：主动信息收集、被动信息收集。

主动信息收集
通过主动扫描目标主机或网站，对目标进行探测性扫描获取相关信息。这种方式获取到的信息更为准确能获取到的信息更多，但缺点也比较明显。通过主动信息收集容易留下明显的攻击访问痕迹，易发现和被溯源。
被动信息收集
通过搜索引擎等公开渠道进行相关信息的检索收集信息，这种方式不直接与目标建立交互访问连接，避免了留下访问痕迹。被动信息收集的优缺点正好与主动信息收集的优缺点相反，被动信息收集不会留下访问痕迹避免被溯源发现，但收集到的信息依赖于搜索引擎，准确性和质量无法保证。

注：在进行信息收集中，首先可以先进行被动收集，确定网络范围内目标，与目标相关的人员的邮箱，地址等信息，然后在选择出重点渗透的目标，在针对性的进行主动信息收集。

信息收集的主要内容

可以通过主动信息收集的内容：

真实ip(绕过CDN)
子域名搜集(搜索引擎和工具以及漏洞)
端口服务
敏感目录
网站架构(语言、中间件、数据库、平台)
C段查询(确认大公司或组织网段内子站)
指纹信息(框架探测)
系统漏洞(系统版本漏洞是否修补)
探测waf(后续可确定Bypass方式)

可以通过被动信息收集的内容：

真实ip(绕过CDN)
whois信息
端口服务
旁站查询(通过IP反查)
C段查询(确认大公司或组织网段内子站)
指纹信息(框架探测)
探测waf(后续可确定Bypass方式)
dns信息（通过查询dns可以检测是否存在dns域传送和域行走）
敏感信息、源码泄露（搜索引擎+工具、GitHub等）
企业信息（天眼查、企业信用信息公示系统、工业和信息化部ICP/IP地址/域名信息备案管理系统）
社工（朋友圈、微博、qq空间、求职、交易等社交平台）

常规资产的信息搜集

一、IP探测

(1)、域名反查IP

在知道目标域名的前提下，可以使用一些<系统命令>进行主动的探测

ping www.xxx.com
nslookup www.xxx.com
dig www.xxx.com

可以使用IP反查域名的站点和工具:

*站长工具   ：http://ip.tool.chinaz.com/
WebScan   ：http://www.webscan.cc/
BugScanner：http://dns.bugscaner.com/
FOFA      ：https://fofa.info/
Hunter    ：https://hunter.qianxin.com/
360quake  ：https://quake.360.net/

(2)、真实IP探测

在目标域名存在CDN服务的情况下需要先对真实IP进行探测（绕过CDN）

CDN是一种分布式的网络架构，它使用多个服务器存储网站上的静态内容（如图像、视频等），并将这些内容复制到离用户最近的服务器。当用户请求网站上的内容时，CDN会自动将请求重定向到离用户最近的服务器，以便更快地传输该内容。

通过这种技术可以隐藏网站的真实IP地址和服务器位置，这使得攻击者难以确定网站的实际位置和结构，从而增加了漏洞和攻击目标的难度。

主要的真实IP探测方法：

多地ping子域名

站长工具超级PING  ：  https://ping.chinaz.com/
IPIP CDN探测平台 ：   https://tools.ipip.net/cdn.php

探测子域名IP
有些企业的业务比较多，还有就是成本原因，可能就只有主站使用了CDN技术，这时我们去查子域名。
邮箱发送携带真实ip
邮箱注册页面，或者订阅页面，发送的邮箱信息，会带着真实ip
敏感信息泄露
例如phpinfo中携带真实ip地址
空间测绘引擎查询

Hunter：https://hunter.qianxin.com/
FOFA  ：https://fofa.info/

DNS历史记录查询

https://dnsdb.io/zh-cn/

二、域名探测

(1)、IP反查域名

在知道目标IP的前提下，可以使用<IP反查域名>进行探测

可以使用IP反查域名的站点和工具:

*站长工具   ：http://ip.tool.chinaz.com/
WebScan   ：http://www.webscan.cc/
FOFA      ：https://fofa.info/
Hunter    ：https://hunter.qianxin.com/
360quake  ：https://quake.360.net/

(2)、子域名探测

在已知目标域名的情况下，可以对目标的<子域名>进行探测

子域名主动探测工具：

*oneforall         ：https://github.com/shmilylty/OneForAll
*layer子域名挖掘机  ：https://github.com/euphrat1ca/LayerDomainFinder/releases/tag/3
subdomainBrute     ：https://github.com/lijiejie/subDomainsBrute
subfinder          ：https://github.com/projectdiscovery/subfinder

子域名在线探测工具：

https://phpinfo.me/domain/
http://z.zcjun.com/
http://tools.bugscaner.com/subdomain/
https://scan.javasec.cn/

或者通过一些在线的<资产测绘平台>、<风险测绘平台>进行域名探测

FOFA      ：https://fofa.info/
Hunter    ：https://hunter.qianxin.com/
360quake  ：https://quake.360.net/
微步社区  ：https://x.threatbook.cn/

三、端口探测

同一个IP地址可以绑定不同的端口，通过使用不同的端口号，可以在同一台主机上运行多个网络服务或应用程序，同过对端口的探测，可以有效的扩展网站的可攻击面。

(1)、端口探测工具

端口主动探测工具：

*nmap   ：https://nmap.org/
*masscan：https://github.com/robertdavidgraham/masscan
naabu  ：https://github.com/projectdiscovery/naabu
goby   ：https://gobysec.net/

FOFA      ：https://fofa.info/
Hunter    ：https://hunter.qianxin.com/
360quake  ：https://quake.360.net/
微步社区  ：https://x.threatbook.cn/
云悉资产  ：https://www.yunsee.cn/

(2)、常见数据库端口

MySQL	3306
Mssql	1433
Oracle	1521
Microsoft SQL Server	1433
PostgreSQL	5432
MongoDB	27017
Redis	6379

四、目录探测

通过目录探测可以获取目标网站所包含的目录和文件结构信息，这些目录和文件结构信息可能包含敏感数据、配置文件等重要信息，因此攻击者可以利用这些信息进行后续攻击。

目录爆破工具：

*dirsearch  ：https://github.com/maurosoria/dirsearch
*7kbscan    ：https://github.com/7kbstorm/7kbscan-WebPathBrute
dirmap     ：https://github.com/H4ckForJob/dirmap

五、旁站探测

一台物理服务器上面可能运行多个web服务，这些web服务具有不同的域名，但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器，就有可能通过此台服务器上其他网站的漏洞获取服务器控制权，进而迂回获取渗透目标的权限，这种技术也称为旁注。

在线旁站查询平台：

*WebScan   ：http://www.webscan.cc/
BugScanner：http://dns.bugscaner.com/
*FOFA      ：https://fofa.info/
*Hunter    ：https://hunter.qianxin.com/
*360quake  ：https://quake.360.net/

六、 C段探测

企业或者机构在网络规模较大、需要大量IP地址、并且需要提供多种不同服务时，往往可能会使用C段部署自己的服务，以便更好地管理和控制其网络资源。例如，互联网服务提供商（ISP）、数据中心、云计算提供商等。

C段探测工具：

nmap   ：https://nmap.org/
masscan：https://github.com/robertdavidgraham/masscan
naabu  ：https://github.com/projectdiscovery/naabu
goby   ：https://gobysec.net/

在线C段查询平台：

WebScan   ：http://www.webscan.cc/
FOFA      ：https://fofa.info/
Hunter    ：https://hunter.qianxin.com/
360quake  ：https://quake.360.net/

渗透测试信息收集（上）