第003文-信息收集-CSDN博客

本文链接：https://blog.csdn.net/u011857851/article/details/145940560

1、什么是信息收集

网络安全中，要充分了解对手的信息，才能定制有效的手段。

信息收集，也叫打点，就是为了充分了解被测试的对象，包括：测试域名，IP，公司管理员，邮箱，电话等等。

渗透的本质就是在做信息收集，目标信息收集的程度，决定了渗透过程的复杂度，目标主机信息收集的深度，决定了渗透后权限的持续把控。信息收集的整理，为后面的情报跟进提供了强大的保证。

2、信息收集的两种模式

信息收集分为主动和被动两种模式。

被动模式

测试人员不直接和被测试对象进行通信和接触，利用第三方的软件，命令，工具，网站等搜索获取信息。

例如：whois等命令，常用的fofa搜索引擎，站长工具，ip，dns，或者域名查询等

特点：被动测试相对安全。

主动模式

操作人员直接和被测试对象（网站，服务器等）进行交互，获取信息

例如：直接ping目标主机，端口扫描，漏洞扫描，操作系统指纹识别等

特点：主动模式相对危险一些

3、信息收集常用工具

whois查询

是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）

用在线网站查询

比如在以下网站可以查询域名ip等信息：

https://ping.chinaz.com

https://whois.aizhan.com

https://beian.miit.gov.cn

企业信息搜索

比如查询企业域名，ip，法人，地址等等一切有效的信息（企查查，天眼查等）

域名搜索

根据企业的主域名（例如baidu.com）查询所有企业使用的子域名（例如game.baidu.com map.baidu.com等等）

端口扫描

使用nmap进行端口扫描，查询对方服务器哪些端口能访问等

空间搜索引擎（fofa等）

fofa：fofa.info

傻蛋：shodan.io

钟馗之眼：zoomeye.org

鹰图：qianxin.com

CMS指纹识别

可以查询对方网站使用的语言，开发框架，数据库，中间件都有哪些。

识别waf

识别对方的网站防火墙

识别CDN

CDN 是要结合缓存技术，在各地部署缓存服务器

用户解析网站域名的是，DNS会给客户端返回一个距离客户端较近的缓存服务器，让用户来访问

识别CDN可以查看对方是否使用CDN，或者绕过CDN等。

等等。。。。

4、信息收集的用途

提到信息收集，很多人想到黑客攻击。其实信息收集很多都是正面的用途。

安全评估

帮助安全人员识别潜在风险。

渗透测试

为模拟攻击提供基础数据。

威胁情报

收集和分析有威胁的信息，提升防御能力。

5、简单的被动信息搜集演示

网站信息搜索演示

我们安装好操作系统后，为了查看系统是否能上网，经常会去ping一下常见的大型网站，比如百度，

这时候就可以看到，我这里百度显示的ip是 110.242.68.66 ，但是baidu域名对应的ip在不同的地理位置，城市，可能看到返回的是不一样的，也就是说，每个人在自己电脑上访问百度的时候，可能访问的都是不同的ip。

我们可以通过网站

ping.chinaz.com

来做一个ping检测，返回结果中，上面是地图上的线路分布，

下面是一个监测结果列表，

一些大型网站甚至会有几十上百个。有兴趣可以对照一下自己的位置，查看返回的ip是否一样。

之所以我们访问的域名一样，ip不一样，是因为网站上了CDN（内容分发）。一般情况下，一个域名只对应一个ip地址，但是如果新疆的访问山东的服务器就可以比较慢，CDN主要作用就是用来加速的，上了CDN后，全国主要的城市都可以部署服务器，这样的话，每个人访问网站的时候，就可以根据就近原则访问离自己地理位置最近的那个服务器。例如百度这样的大网站，在全国各地访问，速度都是很快的。

除了上面的chinaz网站，还有不少其他网站可以进行信息查询，比如，

whois.aizhan.com

这个网站也可以进行信息查询，比如whois查询，

这里可以看到返回了很多信息，域名持有人，时间，dns服务器等等。

下面还可以看到一些相关的其它域名，

在这个网站内还可以查询备案信息，

通过主办单位名称后面的反查主办单位按钮，可以查询主办单位信息，

这里面显示了相关公司用的所有域名和备案信息。

这个网站的其它查询有兴趣可以自行操作试试。

再看一个查询信息的网站，

beian.miit.gov.cn

这个是工信部的网站，这里也可以进行备案查询，

点击详情按钮，

同样，搜索框里还可以根据备案号，单位名称等信息查询。

企业信息搜索演示

比如企查查，

www.qcc.com

可以根据企业名字去进行查询，这里可以查询企业，查老板，查风险等等信息，比如查询一下小米公司企业信息，

这里也可以看到企业的很多重要信息。比如有时候我们不知道企业的网站，邮箱，只知道企业的名字，就可以通过这里查询。

还有其他的一些工具包括爱企查，天眼查等（有些是收费的），都可以对企业信息进行收集。

AI查询

除了通过网站等工具，还可以通过ai提问获取信息，比如deepseek，这里不再展示。

域名查询演示

常见的域名格式，比如www.baidu.com，后面的.com叫做顶级域名，是指代表一个域名类型的符号。不同后缀的域名有不同的含义。

com：Commercial organizations,商业组织,公司

xyz：创意、创新；三维空间与无限可能

net：Network operations and service centers,网络服务商

top：顶级、高端、适用于任何商业公司个人

tech：科技、技术

org：Other organizations,非盈利组织

gov：Governmental entities,政府部门

edu：Educational institutions,教研机构

.ink：internet king 互联网之王，同时英文单词是墨水的意思

int：International organizations,国际组织

mil：Military (U.S),美国军部

pub： public大众、公共、知名。

cn: 中国国家顶级域名

com.cn 中国公司和商业组织域名

net.cn 中国网络服务机构域名

gov.cn 中国政府机构域名

org.cn 中国非盈利组织域名

所有域名后缀作用无差异，仅外观和本身含义不同。

顶级域名的左侧，又叫二级域名，比如 baidu，二级域名的左侧，就是三级域名，比如 www。

查询域名的网站可以查询域名信息，例如，

chaziyu.com

这个可以查询所有的子域名，比如小米的，

不过这些域名有的正在使用，有的已经过期不能访问了。点击域名上的链接，可以看到域名的解析记录，

这里介绍一个子域名挖掘机，叫Layer ，是一个子域名挖掘工具。可提供网站子域名查询服务。拥有简洁的界面、简单的操作模式，支持服务接口、暴力搜索、同服挖掘三种模式，支持打开网站、复制域名、复制IP、复制CDN、导出域名、导出IP、导出域名+IP、导出域名+IP+WEB服务器以及导出存活网站。

这个软件很好找，可以网上下载，打开后是如下界面，

上面左侧域名输入框输入域名，就可以进行启动，开始挖掘，比如写个 jd.com ,

注意这里挖掘10秒钟就停止即可，不要太长，毕竟是运行中的正式网站！！！

通过这个工具，就可以以主动方式收集域名下的子域名信息。

nmap扫描工具

Nmap是一款针对大型网络的端口扫描工具，尽管它也适用于单机扫描。在不同情况下，你可能需要隐藏扫描、越过防火墙扫描或者使用不同的协议进行扫描，比如：UDP、TCP、ICMP 等。它支持：Vanilla TCP connect 扫描、TCP SYN（半开式）扫描、TCP FIN、Xmas、或NULL（隐藏）扫描、TCP ftp代理（跳板）扫描、SYN/FIN IP 碎片扫描（穿越部分数据包过滤器）、TCP ACK和窗口扫描、UDP监听ICMP端口无法送达扫描、ICMP扫描（狂ping）、TCP Ping扫描、直接RPC扫描（无端口映射）、TCP/IP指纹识别远程操作系统，以及相反身份认证扫描等。Nmap同时支持性能和可靠性统计，例如：动态延时计算，数据包超时和转发，并行端口扫描，通过并行ping侦测下层主机。该版本需要Winpcap V2.1 以上支持。

简单扫描一下自己的kali服务器：

端口信息只扫描到了 22端口。

这里不再演示nmap，后面会有专门的课题去详细学习nmap。

指纹识别演示

指纹识别指的不是手指的指纹，是网站的指纹。指纹识别是信息收集中一个比较重要的环节，通过一些开源的工具、平台或者手工检测目标系统是公开的CMS程序还是二次开发的至关重要，能准确的获取CMS类型，web服务组件类型及版本信息可以帮助红队评估人员快速有效的去验证已知漏洞。

whatweb

whatweb 是kali中网站指纹识别的工具，使用Ruby语言开发。whatweb可识别web技术，包括内容管理系统(CMS)、博客平台、统计/分析包、JavaScript库，Web服务器和嵌入式设备等。它有超过900个插件，每个插件都能识别不同的东西。Whatweb还可以识别版本号，电子邮件地址、账户ID、Web框架模块，SQL错误等。

来试试直接whatweb一个网站，

返回的信息显示，在中国，ip是多少，服务器是nginx，等等等等。这些大网站的很多东西都隐藏掉了，如果是一个安全做的一般的网站，会返回更多的信息。

目录扫描

dirb是kali自带的一款目录爆破工具，相比DirBuster更小巧灵活，支持自定义请求头，支持配置认证信息。

我们来扫描一个网站，

可以看到过程中，一直在持续枚举 net/ 后面的路径。其中这一行，

WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt

是kali自带的默认使用的扫描字典，进入相关目录会发现还有其它的字典，

刚才的扫描路径已经有几分钟了，不用进行到底，强制停止，

可以看到已经扫描出来了几个路径， /admin /aux /bank 等等。

dirsearch

类似的工具还有dirsearch，它是一个基于Python的命令行工具，用于暴力扫描页面结构，包括网页中的目录和文件。注意，个别kali版本没有安装dirsearch，安装一下即可，

atp install -y dirsearch

安装完成后，也可以进行路径扫描，为了加快速度，可以指定参数，

dirsearch -e php,txt,zip -x 403 --full-url -u https://demo.testfire.net -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt

其中，--full-url -u 是指定被扫描的域名， -w 是指定使用的字典，-e 指定要找什么后缀的，-x 是指定忽略的状态码。指定的参数越多越精确，扫描的速度越快。

FOFA

FOFA 是一款非常强大的搜索引擎，FOFA（网络空间资产检索系统）是世界上数据覆盖非常完成的IT设备搜索引擎，拥有全球联网IT设备更全的DNA信息，用它探索全球互联网的资产信息，进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是本土化（国产的），拥有更多的域名数据，建立的全球最大的资产规则集。而且现在已经更新了识别蜜罐（诱饵）的功能。它的地址是，