文章总结: 本文系统阐述了渗透测试信息收集的完整方法论,涵盖操作系统识别、IP与端口资产探测、应用服务识别、域名资产拓展、Web架构分析、源码泄漏获取及JS前端分析七大维度。核心要点包括:通过TTL值和端口特征识别系统类型;利用Fofa、Hunter等网络空间引擎与Nmap、Masscan等工具进行资产测绘;通过备案信息、Whois、子域名爆破等手段拓展攻击面;使用指纹识别工具判定WAF、蜜罐及框架组件;针对Git、SVN、Webpack等常见源码泄漏类型提供专项利用工具;从JS文件中提取接口URL、敏感密钥及未授权访问点。文档强调信息收集是逻辑思维、方法体系与工具辅助的综合过程,需遵循由点到面、交叉验证、深度挖掘、持续监控与分类整理五大原则,为后续渗透测试奠定全面目标画像基础。 综合评分: 85 文章分类: 渗透测试,信息收集,红队,安全工具,实战经验
第20天-信息收集完全指南:从端口扫描到源码泄漏
原创
萧瑶 萧瑶
AlphaNet
2026年2月9日 18:43 江苏
一、基础信息收集
- 操作系统识别
· Web大小写敏感测试:Linux系统区分大小写,Windows不区分
· 端口服务特征:通过开放端口判断系统类型(如3389→Windows)
· TTL值判断:初始TTL值可推测操作系统(Linux:64, Windows:128)
- IP资产分析
· 归属地查询(IP138、纯真等)
· 归属云厂商识别(阿里云、腾讯云等)
· IP反查组织机构
· IP反查域名绑定情况
· IP-C段资产拓展
技巧:将IP信息转为Web资产、机构资产,获取更多关联目标
二、端口资产探测
- 网络资产测绘引擎
· 主流平台:Fofa、Hunter、Quake、00信安
· 特点:各引擎轮询周期、扫描精度不同,建议多平台交叉使用
· 导航地址:https://dh.aabyss.cn/
- 在线端口扫描
· 百度/Google搜索”在线端口扫描”
· 配套工具:在线正则提取、编码转换等便捷服务
- 本地扫描工具
· Nmap:最准确但速度慢
· Masscan:最快但误报率高
· Fscan/KScan:国产综合扫描器
· Yakit/TscanPlus:图形化工具演示
注意事项:
· 防火墙可能干扰扫描结果
· 内网环境需调整策略
· 数据库端口开放但扫描不到?可能是安全组策略导致
三、应用服务识别
端口协议对应服务
· 21-FTP、22-SSH、23-Telnet
· 80/443-HTTP/HTTPS
· 3306-MySQL、1433-MSSQL
· 6379-Redis、27017-MongoDB
四、角色定性判定
-
网站服务器(Web服务端口开放)
-
数据库服务器(仅数据库端口开放)
-
邮件系统服务器(SMTP/POP3/IMAP)
-
文件存储服务器(FTP/SMB/NFS)
-
网络通信服务器(VPN/代理服务)
-
安全系统服务器(WAF/IDS/IPS)
收集方式:
· 主动收集:直接与目标交互
· 被动收集:通过第三方获取信息
五、域名资产拓展
- 备案信息挖掘
· 域名→备案号→更多域名
· 企业产权查询(Web/APP/小程序)
- 域名关联分析
· Whois信息(注册人、邮箱、电话)
· 注册接口获取同后缀域名
· 邮箱反查注册人
· 注册人反查其他资产
· 循环查询:域名→邮箱→域名→备案→域名
- 子域名收集方法
· DNS历史记录:查看解析记录
· SSL证书查询:证书中隐藏的子域名
· 网络空间引擎:多平台综合查询
· 威胁情报平台:集成各类接口数据
· 枚举爆破:
· ksubdomain:高性能子域名爆破
· OneForAll:综合收集工具
· JS文件提取:从JavaScript中挖掘
提示:收集后需筛选有效子域名,去除垃圾信息
六、Web架构分析
- 组成要素
· 开源CMS(Discuz、WordPress等)
· 前端技术(Vue、React、Bootstrap等)
· 开发语言(PHP、Java、Python等)
· 框架组件(Spring、ThinkPHP等)
· Web服务器(Nginx、Apache等)
· 数据库(MySQL、Redis等)
· 操作系统(Linux/Windows)
· 应用服务(FTP、SSH、RDP等)
· CDN/WAF/蜜罐信息
- 指纹识别
在线平台:
· 云悉:https://www.yunsee.cn/
· Tide:http://finger.tidesec.net/
· 数字观星:https://fp.shuziguanxing.com/
开源项目:
· wappalyzer:浏览器插件
· CMSeeK:CMS识别
· EHole_magic:红队重点攻击系统指纹探测
· observer_ward:社区版指纹识别
特殊技巧:利用网站favicon.ico进行MD5识别
- WAF识别
· 拦截页面特征分析
· 工具:identYwaf、wafw00f
- 蜜罐识别
检测方法:
· 端口多且有规律性
· Web访问即触发下载
· 设备指纹特征分析
识别工具:
· Heimdallr:蜜罐识别
· quake_rs:360网络空间测绘
“`bash
quake.exe init [apikey]
quake.exe honeypot [target]
“`
- 框架组件识别
重点关注:
· FastJson:反序列化漏洞
· Shiro:权限绕过/反序列化
· Log4j:远程代码执行
七、源码获取策略
-
泄漏原因
-
源码自身特性导致
-
管理员不良习惯
-
常用开发模式
-
配置不当
-
安全意识不足
-
资源信息泄露
-
常见泄漏类型
· Webpack打包泄露
· GitHub源码泄露
· Git/SVN源码泄露
· 备份文件泄露(.zip/.tar.gz)
· .DS_Store文件泄露
· WEB-INF/web.xml泄露
· composer.json泄露
- 获取思路
已知指纹→直接获取
通过识别CMS/框架→搜索引擎获取对应源码
未知指纹→间接获取
后端配置泄露:
· Git泄露:GitHack工具
· SVN泄露:SvnHack工具
· DS_Store泄露:ds_store_exp工具
· 通用工具:dumpall
前端打包泄露:
· Webpack打包:SourceDetector工具
资源平台搜索:
· GitHub/Gitee搜索语法:
“`
in:name [keyword]
in:description [keyword]
stars:>1000 [keyword]
language:php [keyword]
site:Github.com smtp password
“`
另类途径:
· 互站网、谷粒源码等源码交易平台
· 从目标转向源码系统,再从源码系统寻找目标
八、JS前端分析
- 信息提取维度
· 接口URL提取
· 后端地址挖掘
· 敏感信息(API Key、密码)
· 配置文件信息
· 环境信息、代码注释
- JS安全问题
· 源码泄露导致代码审计
· 未授权接口访问
· 敏感密钥泄露(云服务、数据库)
· API接口安全(加密参数分析)
- 识别JS应用
· wappalyzer插件检测
· 代码结构简短
· 多JS文件引入
· cookie中存在connect.sid
- 工具推荐
· HaE:BurpSuite插件,标记敏感信息
· JSFinder:快速提取URL和子域名
· URLFinder:全面页面信息提取
· Packer-Fuzzer:专攻Webpack打包站点
· BurpAPIFinder:发现未授权/敏感接口
· FindSomething:浏览器插件快速提取
九、实战案例参考
-
某资金盘渗透:通过.idea目录泄露获取源码
-
SRC挖掘案例:从js.map泄露到接管云上域控
-
JS信息收集:通过分析JS获取接口、密钥、配置信息
方法论总结
信息收集不是简单的工具堆砌,而是逻辑思维+方法体系+工具辅助的综合过程:
-
由点到面:从一个IP/域名拓展到整个资产体系
-
交叉验证:多工具、多平台对比验证
-
深度挖掘:不满足于表层信息,深入关联分析
-
持续监控:建立监控机制,及时发现新资产
-
分类整理:有效信息结构化,便于后续利用
掌握这些信息收集技巧,你就能在渗透测试、安全评估、红队行动中建立起全面的目标画像,为后续深入测试奠定坚实基础。
关注我们,获取更多网络安全实战技巧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AlphaNet 萧瑶 萧瑶《第20天-信息收集完全指南:从端口扫描到源码泄漏》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论