SRC 信息收集全流程

📌 写给小白: 这篇文章会手把手带你了解"信息收集"是什么、为什么要做、具体怎么做。哪怕你完全零基础,跟着步骤走也能上手。所有专业术语都会用大白话解释。


学习目标

  1. 搞懂信息收集到底是什么,为什么它那么重要
  2. 学会在不同场景下用什么方式收集信息,以及收集来的信息能干什么用

一、信息收集概述

1.1 什么是信息收集?

用人话讲: 信息收集就是"踩点"——在真正动手之前,先摸清目标(一个网站、一个公司、一个系统)的各种底细。

就像你想去一家公司"拜访",你得先知道:

  • 这家公司在哪(IP 地址)
  • 有几个门可以进(开放的端口)
  • 里面是什么装修风格(运行的服务)
  • 用的什么锁(操作系统、中间件)
  • 有没有没锁的后门(漏洞)

这些信息收集得越全,后面"动手"的成功率就越高。

1.2 为什么信息收集这么重要?

看看安全圈大佬们常挂在嘴边的一句话:

渗透的本质就是信息收集!

大白话理解:

  • 你知道的信息越多,目标在你面前就越"透明"
  • 你掌握的信息越细,能下手攻击的点就越多
  • 很多"漏洞"其实不是技术多牛逼,而是信息收集做到位了

一句话总结: 获取信息 → 了解目标 → 掌握情况 → 寻找弱点


二、网络资产收集

2.1 开篇:我们要收集什么?

在实际场景中(渗透测试、SRC 挖洞、攻防演练),你可能会拿到不同的"起点信息":

给你的信息 你还需要找什么
一个域名(如 example.com 公司名、IP 地址、子域名、管理员邮箱……
一个 IP 地址 这个 IP 上跑了哪些网站、绑定了哪些域名
一个公司名 这家公司有哪些网站、哪些 App、哪些公众号
啥也没给 那就先去查这家公司有哪些公开信息

核心目的: 把目标公司名下的所有网络资产(网站、服务器、App、公众号、邮箱、电话等)全部扒出来。

🎯 为什么连邮箱和电话都要收集?因为后面做密码破解(口令爆破) 的时候,这些可能就是用户名!

2.2 先了解一个概念:SRC 和补天平台

  • SRC = Security Response Center(安全响应中心),是各大互联网公司设立的"漏洞收集站"。你发现他们网站的漏洞,提交上去,他们给你奖金。
  • 补天平台(https://www.butian.net/)是国内知名的 SRC 平台之一,汇集了众多公司的漏洞奖励计划。

新手可以先在补天上看看哪些公司有奖励计划,挑一个练手。


2.3 企业信息查询平台

这是第一步: 如果你只知道一个公司名,先去查这家公司的"户口本"。

平台 网址 说明
天眼查 https://www.tianyancha.com/ 最常用的企业信息查询
企查查 https://www.qcc.com/ 和天眼查类似
爱企查 https://aiqicha.baidu.com/ 百度家的,免费版够用

能查到什么?

  • 公司注册信息、法人、注册资本
  • 公司名下的域名(这是重点!)
  • 公司名下的商标、App、微信公众号
  • 联系方式(邮箱、电话)

小技巧:

  • 小蓝本(https://www.xiaolanben.com/)可以免费查企业 App、公众号信息
  • 如果免费额度用完了,去 PDD 或淘宝买临时账号,几块钱一天

2.4 ICP 备案查询

这是什么? 在中国,所有网站都必须向工信部做"ICP 备案",就像汽车要上牌照一样。备案信息里会记录这个网站是谁的。

所以: 你知道一个网站,想知道它背后是哪家公司?查 ICP 备案!

查询地址:

工具 网址 说明
备案查询 http://www.beianx.cn/ 第三方,好用
Chinaz 备案查询 https://icp.chinaz.com/ 老牌站长工具
工信部官方 https://beian.miit.gov.cn/ 官方数据最准,但体验一般

和天眼查的区别:

  • ICP 备案查的是"这个网站是谁备案的"——只能查域名
  • 天眼查查的是"这家公司有哪些资产"——范围更广

2.5 使用搜索引擎收集信息

别小看这一步! 直接在百度或必应(cn.bing.com)搜目标公司或域名,往往能发现很多"意外的惊喜":

  • 内部系统意外暴露的链接
  • 员工在论坛或 GitHub 上泄露的代码
  • 测试域名、临时上线地址

🔍 试试这样搜: site:目标公司.com 后台目标公司名 测试系统


2.6 子域名查询

什么是子域名?

  • 主域名:baidu.com
  • 子域名:tieba.baidu.commap.baidu.compan.baidu.com……

同一个公司名下往往有几十上百个子域名,分别对应不同的业务系统。主站可能防护得很好,但某个子域名可能疏于管理,漏洞百出。

🔧 方法一:网络空间测绘平台

这类平台就像"网络世界的 Google 地图",可以搜到某个域名下的所有暴露在互联网上的资产。

平台 网址 特点
FOFA https://fofa.info/ 国内最流行,功能强大
鹰图 http://hunter.qianxin.com/ 奇安信出品
360Quake https://quake.360.net/ 360 出品

使用示例(FOFA):

  • 在搜索框输入 domain="example.com" → 查出该域名下所有子域名和 IP
  • 还能看每个子域名开了什么端口、跑了什么服务
🔧 方法二:在线子域名查询工具
工具 网址
Chinaz 子域名查询 https://tool.chinaz.com/subdomain/
IP138 域名查询 https://site.ip138.com/
查子域 https://chaziyu.com/

用法: 把目标域名输进去,自动列出所有已知子域名。


2.7 IP 反查域名

什么场景用? 做攻防演练时,甲方只给了你一堆 IP 地址,没给域名。这时候就要用 IP 反查域名。

工具:

工具 网址
爱站 DNS 查询 https://dns.aizhan.com/
Chinaz 同 IP 网站 https://tool.chinaz.com/same
IP138 https://site.ip138.com/

用法: 输入 IP 地址 → 查出这个 IP 上绑定了哪些域名。


2.8 旁站

用人话讲: 一台服务器上可以放多个网站。比如你用 PhpStudy 在自己电脑上搭了 3 个网站,它们共用一个 IP,但用不同域名访问。这些网站互称"旁站"。

为什么查旁站?

  • 主站 A 安全做得很好,但同服务器的旁站 B 可能有个漏洞
  • 通过 B 拿到服务器权限 → 顺带拿下 A

一句话: 查旁站 = 看看目标服务器上还放了哪些"邻居",可能从邻居家翻墙进去。


2.9 C 段

什么是 C 段?
IP 地址由四组数字组成,比如 192.168.1.1

  • 前三个数字相同(192.168.1)就是一个 C 段
  • 所以 192.168.1.1 ~ 192.168.1.254 都属于 192.168.1.0/24 这个 C 段

为什么查 C 段?

  • 公司的公开服务器(官网)可能在 192.168.1.100
  • 而同 C 段的 192.168.1.200 可能是他们忘了上锁的内部数据库
  • 扫描整个 C 段 = 翻遍整条街的门面,看哪家忘关门了

工具推荐:

工具 说明
Cwebscanner https://github.com/se55i0n/Cwebscanner
nmap(Kali 自带) 命令:nmap 192.168.220.10/24
FOFA 语法:ip="111.180.139.0/24"

2.10 Whois 查询

这是什么? 每个域名在注册时都会留下"档案",包括注册人姓名、邮箱、电话、注册商等。这些信息就叫 Whois 信息。

能查什么?

  • 注册人邮箱(可以用来社工或爆破)
  • 注册人电话
  • 域名注册商、注册时间、过期时间

工具:

工具 网址
爱站 Whois https://whois.aizhan.com/
Chinaz Whois https://whois.chinaz.com/

2.11 通过域名获取 IP

场景: 你有一个域名(如 www.baidu.com),想知道它对应的服务器 IP 地址。

方法:

  • 在线工具: https://ping.chinaz.com/ — 输入域名,一键查 IP
  • 命令行:
    • Windows 打开 cmd 或 PowerShell,输入 ping www.baidu.com
    • 或者输入 nslookup www.baidu.com

💡 pingnslookup 是 Windows / Linux 自带的命令,不用装任何软件。


2.12 知识扩展:威胁情报中心

这类平台集成了域名、IP、Whois、恶意文件等大量数据,可以一站查到底。

平台 网址
微步在线 https://x.threatbook.cn/
奇安信威胁情报中心 https://ti.qianxin.com/
360 威胁情报中心 https://ti.360.cn/#/homepage

用法: 输入 IP 或域名 → 查看其关联的所有信息,还能看到这个 IP 有没有被标记为恶意。


2.13 知识扩展:Google Hacking

这是什么? 利用 Google(或百度、必应)的特殊搜索语法,精准找到你想看的信息。

常用语法(学几个就能用):

语法 作用 示例
site: 限定搜索某个域名下内容 site:example.com 后台
filetype: 搜索指定文件类型 filetype:pdf 保密
intitle: 搜索标题中包含关键词的页面 intitle:后台管理
inurl: 搜索 URL 中包含关键词的页面 inurl:login

📖 深入学习:https://blog.csdn.net/Arthur_WangYu/article/details/145822576


2.14 网络资产收集总结图

公司名 / 域名 / IP
       │
       ▼
┌─────────────────────┐
│  1. 企业信息查询     │ ← 天眼查、企查查、爱企查
│  2. ICP 备案查询     │ ← 查出网站背后的公司
│  3. 搜索引擎收集     │ ← 百度、必应搜一搜
│  4. 子域名查询       │ ← 扩大攻击面
│  5. IP 反查/旁站/C段 │ ← 翻邻居的门
│  6. Whois 查询       │ ← 查注册信息
│  7. 威胁情报中心     │ ← 一站式查询
└─────────────────────┘
       │
       ▼
  拿到目标的:域名、IP、子域名、邮箱、电话

三、Web 信息收集

3.1 收集什么?—— 四要素

走到这一步,你已经知道目标有哪些网站了。现在要对具体某个网站做深度信息收集,重点关注四个东西:

操作系统 + 中间件 + 编程语言 + 数据库 = 网站的"四要素"

知道这些有什么用?举个例子:

  • 发现目标网站是 Linux 系统 → 如果有文件下载漏洞,可以试着读 /etc/passwd(Linux 用户列表文件)
  • 如果是 Windows 系统 → 可以试着读 C:\Windows\system32\drivers\etc\hosts(主机映射文件)
  • 知道中间件(如 Apache、Nginx、IIS)的版本 → 查对应版本有没有公开漏洞
  • 知道编程语言(PHP、Java、ASP.NET) → 针对性地找该语言常见的漏洞类型

3.2 如何收集这些信息?

🔍 方法一:看网页特征

案例 1: 访问 http://www.chungwah.com.hk/?page_ID=44

  • 看到 URL 里有 .hkpage_ID= → 大概率是 Windows + ASP 或 ASP.NET
  • (这只是初步判断,不一定 100% 准确)

案例 2: 某个博客网站用的是 WordPress → 大概率是 Linux + PHP + MySQL

🔍 方法二:搜索引擎

操作: 在搜索引擎搜 www.example.com phpwww.example.com 技术架构

🔍 方法三:查看 HTTP 响应头

用浏览器开发者工具(F12)→ 网络(Network)→ 看 Response Headers:

  • Server: Apache/2.4.41 → 中间件是 Apache,版本 2.4.41
  • X-Powered-By: PHP/7.4 → 语言是 PHP
🔍 方法四:端口扫描(找数据库)

数据库不能直接在网页上看到,但可以通过扫描端口发现:

  • MySQL: 端口 3306
  • SQL Server: 端口 1433
  • Redis: 端口 6379
  • MongoDB: 端口 27017

在线端口扫描工具: 直接搜"在线端口扫描"就能找到一堆,网站不行就换一个。


3.3 目录扫描

场景: 目标网站 https://example.com/ — 表面上只有几个公开页面。但你不知道它后台还有哪些"隐藏文件夹"。

目录扫描就是:暴力猜测目标网站下有哪些目录和文件。

常用工具:

  • 御剑 — 经典目录扫描工具,Windows 上用的多
  • 7kbscan — 也是常用的目录扫描器

扫描能得到什么?

https://crm.ru.vivo.com/phpmyadmin/    👈 找到数据库管理后台!
https://crm.ru.vivo.com/admin/          👈 找到管理后台
https://crm.ru.vivo.com/backup/         👈 找到备份文件

🚩 找到后台地址后,下一步就是尝试口令爆破(猜密码)——这属于后面的课程内容了。


四、信息收集总结

完整流程概览

公司名 / 域名
    │
    ▼
第一阶段:网络资产收集
    ├─ 查企业信息(天眼查等)
    ├─ 查 ICP 备案
    ├─ 找子域名
    ├─ 找旁站 / C 段
    └─ 查 Whois / 威胁情报
    │
    ▼
你拿到了:这家公司所有的域名、IP、子域名列表
    │
    ▼
第二阶段:Web 信息收集(针对每个网站)
    ├─ 判断操作系统、中间件、语言、数据库
    ├─ 端口扫描找数据库
    └─ 目录扫描找敏感路径
    │
    ▼
你拿到了:每个网站的技术细节 + 可能存在的入口

作业(练手用)

补天平台公益SRC找一家公司进行一次完整的信息收集,把收集到的信息填入表格。

练手步骤:

  1. 用天眼查查这家公司的域名
  2. 用 FOFA 查这些域名的子域名和 IP
  3. 用 Whois 查域名的注册信息
  4. 用目录扫描工具扫一下找到的网站
  5. 把所有信息整理成一个表格

扩展资料

  • 安全工具汇总:https://forum.ywhack.com/bountytips.php?tools

最后说一句给小白的话:

信息收集不靠"技术",靠的是细心和耐心。别急着上手挖洞,先把信息收集这一步做到位,你会发现"漏洞"自己就冒出来了。每个大佬都是从这一步开始的,加油!

Logo

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐