中华人民共和国网络安全法

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具:明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。
 

---

一、 为什么要先“看”再“动”？（信息收集的意义）

在正式动手挖漏洞之前，我们必须先搞清楚目标的底细。

• 目标是谁？ 是大公司还是小作坊？用的什么系统（Windows还是Linux）？
• 目标在哪？ 服务器IP是多少？开放了哪些端口？
• 核心逻辑： 渗透的本质就是信息收集。收集得越全，攻击面就越广，找到突破口的几率就越大。

---

二、 资产收集：从公司名到IP地址

很多时候，我们接到的任务可能只有一个公司名字，或者一个域名。我们需要通过“顺藤摸瓜”，把这家公司的所有网络资产都找出来。

1. 企业信息查询（查户口）

• 场景： 只知道公司名字，不知道网址。
• 工具： 天眼查、企查查、爱企查。
• 操作： 输入公司名，不仅能查到官网域名，还能查到备案号、法人信息、邮箱甚至电话。这些信息对后续的社工攻击非常有用。

2. 备案查询（找关联）

• 场景： 想知道这家公司还有哪些其他的网站。
• 操作： 利用工信部备案系统或站长工具，通过主域名查询同一备案号下的所有域名。这能帮你发现很多隐藏的测试环境或旧系统。

3. IP与端口扫描（定位坐标）

• 查IP： 使用 ping、nslookup 或在线工具（如微步在线、IP138）将域名解析为IP地址。
• 扫端口： IP地址就像一栋大楼，端口就是大楼的门。常用的工具是 Nmap。
  • nmap -sS -Pn -p 1-65535 IP：扫描所有端口，看哪些门是开着的（如80端口是Web网站，3306是数据库）。
• C段扫描： 如果发现一个IP（如192.168.1.100）是目标服务器，那么扫描整个C段（192.168.1.0/24）可能会发现同一网段内的其他服务器（如数据库、内网系统），这些往往是防守薄弱的“后门”。

---

三、 域名信息收集：扩大攻击面

主域名（如 baidu.com）通常防守严密，但它的“亲戚”们（子域名）可能就是突破口。

1. 子域名爆破

• 原理： 很多业务系统会用子域名（如 mail.baidu.com、crm.baidu.com、dev.baidu.com）。
• 工具： 使用字典（包含常见子域名前缀的列表）配合工具（如Layer子域名挖掘机、7kbscan、御剑）进行暴力猜解。
• 在线平台： 利用网络空间测绘平台（如 FOFA、Hunter、360Quake）搜索 "domain.com"，可以快速获取全网关联的子域名。

2. 旁站查询

• 原理： 有些公司为了省钱，把好几个网站放在同一台服务器上（共享IP）。
• 操作： 通过IP反查，找到同一IP下绑定的所有域名。如果其中一个网站有漏洞，可能就能“城门失火，殃及池鱼”，拿下同一服务器上的其他网站。

3. Whois查询（查注册信息）

• 操作： 查询域名的注册人、邮箱、电话。这些信息可以作为后续社工库撞库的字典。

---

四、 Web信息收集：四要素侦察

当我们锁定一个具体的网站时，需要搞清楚它的“Web四要素”，这决定了我们用什么武器去攻击。

1. 操作系统（OS）

• Windows特征： 路径分隔符是反斜杠 \，报错信息比较详细，喜欢用IIS中间件。
• Linux特征： 路径分隔符是斜杠 /，报错信息比较含蓄，喜欢用Nginx/Apache。
• 判断方法： 使用Nmap扫描（-O参数）或观察HTTP响应头。

2. 中间件（Web Server）

• IIS： 通常是Windows家的，看到 X-Powered-By: ASP.NET 基本就是它了。
• Apache/Nginx： 通常是Linux家的，看版本号有没有泄露。

3. 脚本语言

• PHP： 网页后缀通常是 .php，或者通过报错信息看到 Parse error。
• ASP/ASP.NET： 后缀是 .aspx 或 .asp。
• JSP： 后缀是 .jsp，通常配合Tomcat中间件。

4. 数据库

• MySQL： 最常见，端口通常是3306。
• SQL Server： 微软家的，端口通常是1433。
• Oracle： 大型企业用，端口通常是1521。

---

五、 目录扫描：寻找隐藏的“后门”

网站搭建时，往往会留下一些管理后台、安装文件或备份文件。这些就是我们的“宝藏”。

• 工具： 御剑、7kbscan、DirBuster。
• 字典： 使用包含常见后台路径（如 /admin、/login）、备份文件（如 .bak、.zip）、配置文件（如 config.php）的字典进行扫描。
• 实战案例：
  • 扫描目标： crm.ru.vivo.com
  • 扫描结果： 发现 /phpmyadmin/ 路径。
  • 结果： 直接暴露了数据库管理后台，如果存在弱口令，就能直接登录获取数据。

---

六、 总结与流程图

信息收集不仅仅是点点鼠标，更是一种思维的博弈。一个优秀的“漏洞猎手”，往往能把信息收集做到极致。

完整的SRC信息收集流程如下：

1. 确定目标： 获取公司名、主域名或IP。
2. 资产测绘： 利用企查查、备案查询、威胁情报平台（微步、360Quake）收集关联的IP、域名、邮箱。
3. 子域名爆破： 使用工具和字典，找出所有子域名。
4. 端口扫描： 使用Nmap扫描存活主机和开放端口。
5. Web指纹识别： 访问网站，确定操作系统、中间件、脚本语言。
6. 目录扫描： 使用御剑等工具扫描敏感路径。
7. 漏洞挖掘： 在收集到的资产中，寻找具体的漏洞（如弱口令、SQL注入、文件上传等）。

温馨提示： 技术无罪，但使用技术的人有责。请严格遵守《网络安全法》，在授权范围内进行测试。