渗透测试之信息收集

前言：

渗透测试，是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，帮助企业挖掘出正常业务流程中的安全缺陷和漏洞，助力企业先于黑客发现安全风险，防患于未然。

Web应用的渗透测试流程主要分为3个阶段，分别是：信息收集→漏洞发现→漏洞利用。本文我们将对信息收集这一环节做一个基本的讲解。

一、信息收集简介

进行web渗透测试之前，最重要的一步那就是就是信息收集了，俗话说“渗透的本质也就是信息收集”，信息收集的深度，直接关系到渗透测试的成败。打好信息收集这一基础可以让测试者选择合适和准确的渗透测试攻击方式，缩短渗透测试的时间。一般来说收集的信息越多越好，通常包括以下几个部分：

域名信息收集

子域名信息收集

站点信息收集

敏感信息收集

服务器信息收集

端口信息收集

真实IP地址识别

社会工程学

以下文章我们会对这几种信息收集进行详细的讲解。

二、域名信息收集

域名英文名又称Domian name，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）。由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点，人们设计出了域名，并通过域名称系统来将域名和IP地址相互映射，使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP地址数串。

比如：baidu.com

其次域名也分等级，分为一级域名、二级域名、子域名三个等级，接下来我们就详细讲解一下这三个等级域名

一级域名/高级域名

一级域名（也称高级域名），是互联网DNS等级之中的最高级的域，它保存于DNS根域的名字空间中。顶级域名是域名的最后一个部分，即是域名最后一点之后的字母，例如在http://wwwbaidu.com ,一级域名就是.com。

二级域名

二级域名就是一级域名靠近左侧的字段，例如在http://www.baidu.com,二级域名就是baidu这个字段。我们进行域名查询就是一级域名和二级域名联合查询。

子域名

子域名的英语名叫 Subdomain ，是在域名系统等级中，属于更高一层域的域。比如，mail.baidu.com和admin.baidu.com是baidu.com的两个子域，而baidu.com则是顶级域.com的子域。凡一级域名前加前缀的都是该一级域名的子域名，而子域名根据技术的多少分为二级子域名，三级子域名以及多级子域名。

一般来说，在做渗透测试之前，渗透测试人员能够了解到的信息非常有限，一般也就只知道一个域名，这就需要渗透测试人员首先要针对一个仅有的域名进行信息搜集，获取域名的IP、域名的注册信息、域名的DNS服务器信息、子域信息和注册人的联系信息等信息。可以用以下几种方法来收集域名信息。

网络空间测绘 域名资产查询

网络空间测绘是用来查询域名的IP以及域名之下的所有资产信息和传输协议等信息。简单来说，网络空间测绘就是查询域名或ip等名下的国内外资产信息，因为主域名以为是透明公开的，主域名攻击难度较大，防护也较为完善，所以我们也可以从他的子域名出手进行渗透测试，比如（mail.baidu.com），因此我们攻击的方式和方法也就变得简单许多。

网络空间测绘引擎

如今网上出现了一些免费的搜索引擎，常见网站包括:

fofa 网络空间测绘搜索引擎:https://fofa.info

360quake 网络空间测绘搜索引擎:https://quake.360.cn

奇安信鹰图 网络空间测绘搜索引擎:https://hunter.qianxin.com

示例：

下面是三种网络空间测绘工具查询的域名下的子域名资产。

 

 

Whois 查询

whois 是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商），不同域名后缀的Whois信息需要到不同的Whois数据库查询。通过whois来实现对域名信息的查询，可以得到注册人的姓名和邮箱信息通常对测试个人站点非常有用，因为我们可以通过搜索引擎和社交网络挖掘出域名所有人的很多信息。

在线查询

如今网上出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令列接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。

常见的查询网站：

Whois站长之家查询：http://whois.chinaz.com/

阿里云中国万网查询：https://whois.aliyun.com/

Whois Lookup 查找目标网站所有者的信息：http://whois.domaintools.com/

Netcraft Site Report 显示目标网站上使用的技术：http://toolbar.netcraft.com/site_report?url=

Robtex DNS 查询显示关于目标网站的全面的DNS信息：https://www.robtex.com/

全球Whois查询：https://www.whois365.com/cn/

站长工具爱站查询：https://whois.aizhan.com/

 示例：

下面是使用站长之家Whois查询csdn域名的相关信息：

（2）kali自带whois工具查询

在Kali Linux下自带的Whois查询工具，通过命令Whois查询域名信息，只需输入要查询的域名即可。

备案信息查询

网站备案信息是根据国家法律法规规定，由网站所有者向国家有关部门申请的备案，是国家信息产业部对网站的一种管理途径，是为了防止在网上从事非法网站经营活动，当然主要是针对国内网站。

在备案查询中我们主要关注的是：单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等。

常用的备案信息查询网站有以下几个：

ICP/IP地址/域名信息备案管理系统：http://beian.miit.gov.cn/publish/query/indexFirst.action

ICP备案查询网：http://www.beianbeian.com/

备案吧吧：https://www.beian88.com/

天眼查：https://www.tianyancha.com/

 

 主公司及旗下子公司和控股企业信息收集

我们做渗透思维一定不能固化，要开放式攻击，比如说从主公司的子公司反攻到攻击目标公司，还有就是控股企业和供应链公司都可以往上攻击，来实现对攻击目标的攻击。

在线搜索

爱企查：https://aiqicha.baidu.com

企查查：https://www.qcc.com

天眼查：https://www.tianyancha.com

示例：

下面是爱企查csdn公司信息：

 

 三、子域名信息收集

为什么要收集子域名

子域名枚举可以在测试范围内发现更多的域或子域，这将增大漏洞发现的几率。

有些隐藏的、被忽略的子域上运行的应用程序可能帮助我们发现重大漏洞。

在同一个组织的不同域或应用程序中往往存在相同的漏洞

假设我们的目标网络规模比较大，直接从主域入手显然是很不理智的，因为对于这种规模的目标，一般其主域都是重点防护区域，所以不如先进入目标的某个子域，然后再想办法迂回接近真正的目标，这无疑是个比较好的选择。

收集子域名的方法有以下几种：

（1）可以用我上面讲的三大网络空间测绘搜索引擎

（2）利用Google hacking 搜索引擎，查询

我们可以利用Google语法搜索子域名，我们以百度的域名为例，使用“site:baidu.com”语法，这个我以后会出一版专门讲解Google hacking 搜索语法的文章。

（3）利用在线查询工具

网上有很多子域名的查询站点，可通过它们检索某个给定域名的子域名。如：

• DNSdumpster：https://dnsdumpster.com/
• whois反查：http://whois.chinaz.com/
• virustotal：www.virustotal.com
• 子域名爆破：https://phpinfo.me/domain/
• IP反查绑定域名：http://dns.aizhan.com/
• https://hackertarget.com/find-dns-host-records/
• https://site.ip138.com

我们用whois反查查询csdn的子域名：

通过证书公开日志程度枚举子域名

证书透明度是证书授权机构的一个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息。

查找某个域名所属证书的最简单的方法就是使用搜索引擎来搜索一些公开的CT日志，例如以下网站：

www.baidu.com

利用kali上的工具枚举子域名

信息收集模块-DNS分析-工具都可以用

 在kali中的信息收集模块的DNS分析中，有很多工具可以进行域名信息收集。

• Dnsenum：域名信息收集

• Dnsmap：收集信息和枚举DNS信息

• Dnsrecon：用于DNS侦察

• Fierce ：子域名查询

• whois查询

四、站点信息收集

接下来我们进行web网站站点信息收集，主要收集如下信息：

• CMS指纹识别
• 历史漏洞
• 脚本语言
• 敏感目录/文件
• Waf识别

CMS指纹识别

CMS（内容管理系统）又称为整站系统或文章系统，用于网站内容管理。用户只需要下载对应的CMS软件包，就能部署搭建，并直接利用CMS。但是各种CMS都具有其独特的结构命名规则和特定的文件内容，因此可以利用这些内容来获取CMS站点的具体软件CMS与版本。

在渗透测试中，对进行指纹识别是相当有必要的，识别出相应的CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。

常见的CMS有Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。

（1）在线识别

如今，网上一些在线的网站查询CMS指纹识别，如下所示：

• BugScaner: 在线指纹识别,在线cms识别小插件--在线工具
• 潮汐指纹：TideFinger 潮汐指纹 TideFinger 潮汐指纹
• 云悉：yunsee.cn-2.0
• WhatWeb: WhatWeb - Next generation web scanner.
• 云悉指纹: yunsee.cn-2.0

我们利用BugScaner在线识别一下baidu，如下所示：

当我们得知了一个站点的cms类型后，我们可以在网上查找与其相关的漏洞并进行相应的测试。

（3）手工识别

• 1. 根据HTTP响应头判断，重点关注X-Powered-By、cookie等字段
• 2. 根据HTML 特征，重点关注 body、title、meta等标签的内容和属性。
• 3. 根据特殊的class判断。HTML 中存在特定 class 属性的某些 div 标签，如<body class="ke-content">
• ......

敏感目录/文件收集

也就是对目标网站做个目录扫描。在web渗透中，探测Web目录结构和隐藏的敏感文件是一个十分重要的环节，从中可以获取网站的后台管理页面、文件上传界面、robots.txt，甚至可能扫描出备份文件从而得到网站的源代码。

常见的网站目录的扫描工具主要有：

• 御剑后台扫描工具
• dirbuster扫描工具
• dirsearch扫描工具
• dirb
• wwwscan
• Spinder.py
• Sensitivefilescan
• Weakfilescan
• ......

 

Waf识别

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

wafw00f是一个Web应用防火墙（WAF）指纹识别的工具。

下载地址：https://github.com/EnableSecurity/wafw00f

wafw00f的工作原理：

1. 发送正常的HTTP请求，然后分析响应，这可以识别出很多WAF。

2. 如果不成功，它会发送一些（可能是恶意的）HTTP请求，使用简单的逻辑推断是哪一个WAF。

3. 如果这也不成功，它会分析之前返回的响应，使用其它简单的算法猜测是否有某个WAF或者安全解决方案响应了我们的攻击。

kali里边内置了该工具，可以打开直接用，如下图所示：

简单使用如下：wafw00f https://www.xxx.com/

五、敏感信息收集

有时候，针对某些安全做得很好的目标，直接通过技术层面是无法完成渗透测试的。此时，便可以利用搜索引擎搜索目标暴露在互联网上的关联信息。例如：数据库文件、SQL注入、服务配置信息，甚至是通过Git找到站点泄露源代码，以及Redis等未授权访问、Robots.txt等敏感信息，从而达到渗透目的。

（1）Google Hacking的基本语法使用

Google Hacking 正是是利用谷歌搜索的强大，来在浩瀚的互联网中搜索到超乎我们想象我的信息。轻量级的搜索可以搜索出一些遗留后门，不想被发现的后台入口、sql注入等网络漏洞，中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等，重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码，php远程文件包含漏洞等重要信息。

利用 Google Hacking 我们能够收集很多对我们有用的情报，毫无疑问Google是一个伟大的信息收集工具。

要利用Google搜索我们想要的信息，需要配合谷歌搜索引擎的一些语法：

intext：寻找正文中含有关键字的网页
intitle：寻找标题中含有关键字的网页
allintitle：用法和intitle类似，只不过可以指定多个词
inurl：搜索url中含有关键词的网页
allinurl：用法和inurl类似，只不过可以指定多个词
site：指定访问的站点
filetype：指定访问的文件类型
link：指定链接的网页
related：搜索相似类型的网页
info：返回站点的指定信息，例如：info:www.baidu.com   将返回百度的一些信息
phonebook：电话簿查询美国街道地址和电话号码信息
Index of：利用 Index of 语法可以发现允许目录浏览的web网站，就像在本地的普通目录一样

查找网站后台

• intext:后台登录：将只返回正文中包含“后台登录”的网页
• intitle:后台登录：将只返回标题中包含“后台登录”的网页

查找管理员登录页面

• inurl:/admin/login.php

查找后台数据库管理页面

• inurl:/phpmyadmin/index.php

查找指定网站后台

• site:xx.com intext:管理

• site:xx.com inurl:login

• site:xx.com intitle:后台

查看指定网站的文件上传漏洞

• site:xx.com inurl:file

• site:xx.com inurl:load

利用Index of可以发现允许目录浏览的web网站，就像在本地的普通目录一样

index of /admin
index of /passwd
index of /password
index of /mail
"index of /" +passwd
"index of /" +password.txt
"index of /config"

用index of目录列表列出存在于一个web服务器上的文件和目录。

备份文件泄露

• intitle:index.of index.php.bak
• inurl:index.php.bak
• intitle:index.of www.zip

查找sql注入

• inurl:?id=1
• inurl: php?id=

GHDB 谷歌黑客数据库

链接：Google Hacking Database (GHDB) - Google Dorks, OSINT, Recon

黑客们能通过简单的搜索框在网络中出入于无形，在这背后还有一个强大的后盾，那就是Google Hacking Database（GHDB）,这是全世界的黑客朋友们自发维护的一个汇集着各种已经被优化的查询语句的数据库，每天都在不断地更新各种好用有效的Google查询语句。

 Github信息泄露

GitHub作为开源代码平台，给程序员提供了很多便利，但如果使用不当，比如将包含了账号密码、密钥等配置文件的代码上传了，导致攻击者能发现并进一步利用这些泄露的信息，就是一个典型的GitHub敏感信息泄露漏洞，再如开发人员在开发时，常常会先把源码提交到github，最后再从远程托管网站把源码pull到服务器的web目录下，如果忘记把.git文件删除，就造成此漏洞。利用.git文件恢复网站的源码，而源码里可能会有数据库的信息。

很多网站及系统都会使用pop3和smtp发送来邮件，不少开发者由于安全意识不足会把相关的配置文件信息也放到Github上，所以如果这时候我们动用一下Google搜索语法，就能把这些敏感信息给找出来了。

site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn

数据库信息泄露：

site:Github.com sa password
site:Github.com root password

六、服务器信息收集

我们还需要对目标服务器的信息进行收集，主要包括一下部分：

• Web服务器指纹识别
• 真实IP地址识别
• 编程语言
• Web中间件
• 端口信息收集
• 后端存储技术识别
• ......

Web服务器指纹识别

Web服务器指纹识别是了解正在运行的web服务器类型和版本，目前市场上存在几种不同的web服务器提供商和软件版本，了解被测试的web服务器的类型，能让测试者更好去测试已知漏洞和大概的利用方法，将会在渗透测试过程中有很大的帮助，甚至会改变测试的路线。

Web服务器指纹识别主要识别一下信息：

Web服务器名称，版本

Web服务器后端是否有应用服务器

数据库(DBMS)是否部署在同一主机(host)，数据库类型

Web应用使用的编程语言

Web应用框架

1）手工检测

• 1. HTTP头分析

即查看HTTP响应头中的Server、X-Powered-By、Cookie 等字段，这也是最基本的方法。

根据X-Powered-By字段我们可以判断识别出web框架，并且不同的web框架有其特有的cookie，根据这个我们也能判断识别出web应用框架。

• 2. 协议行为

即从HTTP头字段顺序分析，观察HTTP响应头的组织顺序，因为每个服务器都有一个内部的HTTP头排序方法。

• 3. 浏览并观察网站

我们可以观察网站某些位置的HTML源码(特殊的class名称)及其注释(comment)部分，可能暴露有价值信息。观察网站页面后缀可以判断Web应用使用的编程语言和框架。

• 4. 刻意构造错误

错误页面可以给你提供关于服务器的大量信息。可以通过构造含有随机字符串的URL，并访问它来尝试得到404页面。

（2）利用工具识别

就是我上面列举的指纹识别工具。

七、真实IP地址识别

在渗透测试中，一般只会给你一个域名，那么我们就要根据这个域名来确定目标服务器的真实IP，我们可以通过像www.ip.com这样的IP查询网直接获取目标的一些IP及域名信息，但这里的前提是目标服务器没有使用CDN。

什么是CDN？

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

CDN将用户经常访问的静态数据资源直接缓存到节点服务器上，当用户再次请求时，会直接分发到在离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验。CDN网络的诞生大大地改善了互联网的服务质量，因此传统的大型网络运营商纷纷开始建设自己的CDN网络。

因此，如果目标服务器使用了CDN服务，那么我们直接查询到的IP并不是真正的目标服务器的IP，而是一台离你最近的目标节点的CDN服务器，这就导致了我们没法直接得到目标服务器的真实IP。

如何判断目标服务器使用了CDN？

我们可以ping这个网站域名，比如我们ping百度：

如上图，我们可以看到百度使用了CDN。

我们也可以设置代理或者通过在线ping网站来在不同地区进行ping测试，然后对比每个地区ping出的IP结果，查看这些IP是否一致，一致，则极有可能不存在CDN。根据 CDN 的工作原理，如果网站使用了 CDN，那么从全国各地访问网站的 IP 地址是各个 CDN 节点的 IP 地址，那么如果ping出来的IP大多不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN。有以下网站可以进行ping测试：

• 多个地点ping服务器-网站测速-站长工具
• 全球Ping测试,在线ping工具 - 网络工具
• 网站测速|网站速度测试|网速测试|电信|联通|网通|全国|监控|CDN|PING|DNS 17CE.COM

以 全球Ping测试,在线ping工具 - 网络工具为例，如图所示，对 百度一下，你就知道进行ping命令测试，根据 IP 地址和归属地不同，可以判断 百度一下，你就知道使用了 CDN。

如何绕过CDN找到目标真实IP？

1. 利用子域名。一般来说很多站长可能只会对主站或者流量较大的分站使用CDN，但是一些流量比较小的分站可能没有挂CDN，这些分站和主站虽然不是同一个IP但是都在同一个C段下面的情况，所以我们可以通过ping二级域名获取分站lP，从而能判断出目标的真实IP段。

2. 查询主域。以前用CDN的时候有个习惯，只让www域名使用cdn，秃域名不使用，为的是在维护网站时更方便，不用等cdn缓存。所以试着把目标网站的www去掉，ping一下看ip是不是变了，如下图：

3.扫描网站敏感文件，如phpinfo.php等，从而找到目标的真实IP。

4.从国外访问。国内很多CDN厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的主机直接访问可能就能获取到真实P。我们可以通过国外在线代理网站访问，可能会得到真实的IP地址。

5.通过邮件服务器。一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，由于这个邮件服务器的有可能跟目标Web在一个段上，我们直接一个一个扫，看返回的HTML源代码是否跟web的对的上，就可以获得目标的真实IP(必须是目标自己内部的邮件服务器，第三方或者公共邮件服务器是没有用的)。

6. 查看域名历史解析记录。也许目标很久之前没有使用CDN，所以可能会存在使用 CDN 前的记录。所以可以通过ViewDNS.info - Your one source for DNS related tools!等网站来观察域名的IP历史记录。

7.Nslookup查询。查询域名的NS记录、MX记录、TXT记录等很有可能指向的是真实ip或同C段服务器。

8.利用网络空间搜索引擎。这里主要是利用网站返回的内容寻找真实原始IP，如果原始服务器IP也返回了网站的内容，那么可以在网上搜索大量的相关数据。最常见的网络空间搜索引擎有如下：

• Shodan：https://www.shodan.io/
• 钟馗之眼：https://www.zoomeye.org/
• FOFA：https://fofa.info/

9. 让目标主动连接我们。

1、发邮件给我们。比如订阅、注册的时候会有注册连接发送到我们的邮件，然后查看邮件全文源代码或邮件标头，寻找邮件头中的邮件服务器域名IP就可以了。

2、利用网站漏洞。比如有代码执行漏洞、SSRF、存储型的XSS都可以让服务器主动访问我们预设的web服务器，那么就能在日志里面看见目标网站服务器的真实IP。

......

验证获得的真实IP地址

通过上面的方法获取了很多的IP地址（上面的方法4），此时我们需要确定哪一个才是真正的IP地址，如果是Web，最简单的验证方法是直接尝试用IP访问，看看响应的页面是不是和访问域名返回的一样即可。：

八、端口信息收集

在渗透测试的过程中，收集端口信息是一个十分重要的过程，通过扫描目标服务器开放的端口可以从该端口判断服务器上运行的服务。因为针对不同的端口具有不同的攻击方法，收集端口信息可以对症下药，便于我们渗透目标服务器。我们可以通过以下方法收集目标服务器的端口信息：

 1.使用nmap工具

nmap -A -T4 -sV 目标地址

2.由于使用工具通常会在目标网站留下痕迹，接下来提供一种在线网站探测方法。

• 在线网站：网站端口扫描结果
• ThreatScan在线网站（网站基础信息收集）：https://scan.top15.cn/
• Shodan：Shodan Search Engine

 九、漏洞信息收集

在渗透测试的过程中，发现web漏洞是很重要的，通过扫描目标地址（比如：https//:www.baidu.com）,扫描网站信息可以发现一些不常见的框架漏洞，便于我们渗透目标，我们可以通过以下方法扫描网站：

1.Appscan扫描工具

2.nessus扫描工具

3.AWVS扫描工具

 

以后我会专门出三期文章讲解以下这三种漏洞扫描工具的使用。

十、社会工程学 

人们常说机器人的思维是固化的没有感情，但人类恰恰最脆弱的就是情感，我们有喜怒哀乐，但机器没有，他一产生就会按照我们人类输入的指令工作，永远不知疲惫，直至报废。所以，系统很多情况下都很难取得什么进展，我们就要把目标转向存在弱点的人类，这种手段往往成功率非常高，事实上，社会工程学已是企业安全最大的威胁之一。狭义与广义社会工程学最明显的区别就是是否会与受害者产生交互行为。广义是有针对性的去对某一单一或多一目标进行攻击的行为。社会工程学在渗透测试中起着不小的作用，利用社会工程学，攻击者可以从一名员工的口中挖掘出本应该是秘密的信息。

社会工程学攻击包括四个阶段：

• 研究：信息收集（WEB、媒体、垃圾桶、物理），确定并研究目标
• 钩子：与目标建立第一次交谈（HOOK、下套）
• 下手：与目标建立信任并获取信息
• 退场：不引起目标怀疑的离开攻击现场

社会工程学收集的常见信息包括：姓名、性别、出生日期、身份zheng号、身份zheng家庭住址、身份zheng所在公安局、快递收货地址、大致活动范围、qq、手机号、邮箱、银行card号（银行开户行）、支付宝、贴吧、百度、微博、猎聘、58、同城、网盘、微信、常用ID、学历（小/初/高/大学/履历）、目标性格详细分析、常用密码、照片EXIF信息。

常见可获取信息系统包括：中航信系统、春秋航空系统、12306系统、三大运营商网站、全国人口基本信息资源库、全国机动车/驾驶人信息资源库、各大快递系统（越权）、全国出入境人员资源库、全国在逃人员信息资源库、企业相关系统、全国安全重点单位信息资源库等。

举个例子：比如我们渗透一家公司的网站，但是这家公司的网站非常安全，让你无从下手，因为我们已经收集了这家公司的子公司的负责人的信息，包括姓名、性别、出生日期、身份zheng号、家庭住址、手机号等信息，并且我们找到了他们的邮箱系统，我们现在只知道他的用户名，密码不知道，但是我们有邮箱管理员的邮箱，用我们临时的邮箱给邮箱管理员发我们收集到的负责人信息，并说邮箱密码忘了被锁定了，需要重置密码，管理员一看是这个信息，就帮你重置了密码，我们登录上邮箱更改密码，用子公司负责人的邮箱钓鱼总部的负责人或管理员的信息，从而获得一些系统的信息，如果拿下域管理控制台，我们完全可以把内网全部吃下。