Web 渗透测试:企业信息收集
Web 渗透测试企业信息收集前言一、信息收集概述1.1 什么是信息收集1.2 信息收集的分类1.2.1 被动信息收集1.2.2 主动信息收集1.3 信息收集在渗透测试中的地位二、信息收集主要方法2.1 主域名信息收集2.1.1 WHOIS 查询2.1.2 域名注册信息分析・实操指南1爱站网同主体域名反查2ICP 备案信息查询3天眼查・域名信息补充拓线实操4DNS 服务器验证2.2 子域名收集2.2.1 搜索引擎语法枚举2.2.2 证书透明度CT Log查询2.2.3 空间测绘平台子域名收集2.2.4 子域名爆破主动探测严格合规限制2.3 小程序与APP收集合规注意前言信息收集是渗透测试的第一步也是最容易被新手忽略的一步。很多人拿到目标直接开扫描器扫不到东西就觉得没漏洞 —— 但真实情况往往是你连目标有多少个子域名、用了什么技术栈、开了哪些端口都没搞清楚。这篇文章系统梳理 Web 渗透信息收集的完整流程被动收集 主动探测从域名、子域名、端口、指纹到目录爆破附工具和实战思路。本文仅用于网络安全技术研究、教学交流与授权渗透测试学习参考不得用于任何非法用途。所有涉及主动扫描、漏洞探测、信息利用的操作必须取得目标方书面授权。未经授权对任何公网系统进行测试均属违法行为。读者因使用本文内容造成的任何直接或间接后果由读者自行承担全部法律责任作者不承担任何责任。请严格遵守《中华人民共和国网络安全法》《中华人民共和国刑法》第 285 条、第 286 条等相关法律法规。一、信息收集概述1.1 什么是信息收集信息收集Information Gathering / Reconnaissance是渗透测试流程的首个阶段指通过公开渠道或技术探测手段获取目标系统、组织及人员的相关情报用于扩大攻击面、定位漏洞入口。核心目标最大化攻击面为后续漏洞探测与利用提供精准方向。1.2 信息收集的分类按是否与目标直接交互分为两类1.2.1 被动信息收集不向目标系统发送任何数据包仅通过第三方公开资源获取信息。特点无交互、无痕迹、隐蔽性强、法律风险低常见手段WHOIS 查询、搜索引擎语法Google Dorks、子域名枚举CT Log / 第三方平台、网络空间测绘Shodan / FOFA、GitHub 泄露挖掘、社交平台情报收集1.2.2 主动信息收集直接向目标系统发送探测数据包获取目标真实状态信息。特点信息精准、实时性强但会留下访问痕迹存在被 WAF / IDS 检测的风险常见手段端口扫描Nmap / Masscan、Web 指纹识别、目录爆破、漏洞扫描与 PoC 验证、存活主机探测1.3 信息收集在渗透测试中的地位信息收集是标准渗透测试流程的第一步直接决定后续测试的广度与深度。标准流程信息收集 → 漏洞探测 → 漏洞利用 → 权限提升 → 权限维持 → 痕迹清理核心价值决定攻击面大小子域名、端口、服务发现得越多可利用入口越多决定攻击精准度明确目标技术栈后才能匹配对应漏洞 Payload避免盲目测试决定测试成功率大量突破口泄露的后台、旧版本框架、测试页面等仅能通过信息收集发现新手误区跳过信息收集直接使用扫描器导致大量攻击面遗漏测试效率极低。二、信息收集主要方法2.1 主域名信息收集域名介绍本质作用将难记的IP地址如192.168.1.1转换为易读文字如baidu.comDNS机制通过DNS协议将域名自动翻译为对应IP地址如www.baidu.com→180.101.49.12实例说明www.baidu.com百度官网 tieba.baidu.com百度贴吧2.1.1 WHOIS 查询WHOIS 是用于查询域名注册信息的协议可获取域名所有者、注册商、注册邮箱、DNS 服务器等数据。查询内容注册人 / 注册组织注册邮箱、联系电话注册商、注册时间、过期时间DNS 服务器Name Server域名状态实操工具1. 命令行查询Kali 自带whois baidu.com关键信息提取表格字段值渗透价值注册组织北京百度网讯科技有限公司确认权属主体可反查同主体名下其他域名注册商MarkMonitor国际品牌保护注册商说明域名管理很规范DNS 服务器ns1~ns4.baidu.com、ns7.baidu.com自建 DNS 集群同 NS 下可能存在大量内部子域名注册时间1999-10-11老域名历史资产多废弃子域名、旧系统是突破口域名状态6 项 Prohibited 全锁定client server 双重锁定域名劫持风险极低注册邮箱隐藏需表单联系开启了隐私保护无法直接获取运维邮箱实战结论百度域名管理非常规范WHOIS 层面挖不到直接的邮箱、电话等社工线索重点转向同主体反查其他域名 自建 DNS 下的子域名枚举域名状态全锁定不用考虑域名劫持、过期赎回这类攻击面2. 在线查询平台ICANN WHOIShttps://lookup.icann.org/Whois.comhttps://www.whois.com/站长工具 WHOIShttps://whois.chinaz.com/示例输出关键字段Registrar: ……注册商 Creation Date: ……注册时间 Expiry Date: ……过期时间 Name Server: ns1.example.comDNS 服务器 Registrant Email: adminexample.com注册邮箱2.1.2 域名注册信息分析・实操指南1爱站网同主体域名反查打开爱站网 WHOIS 反查https://whois.aizhan.com/reverse/选择「域名」选项卡输入baidu.com点击查询域名持有人 / 机构名称北京百度网讯科技有限公司实操操作点击右侧绿色【反查注册人】按钮进入同主体域名反查页面批量获取该企业名下全部域名快速扩大资产范围。价值锁定目标企业主体拓线旗下云、子业务、测试域名。持有人邮箱无横线占位说明百度完整开启 WHOIS 隐私保护线上平台、命令行 whois 均无法获取运维 / 业务邮箱社工类线索从本条渠道断绝。创建 1999-10-11 / 过期 2028-10-11域名运营周期极长历史解析记录、废弃子域名、遗留旧系统存量大是情报挖掘重点距离过期年限久不存在域名过期管理疏漏风险。DNS 服务器ns1~ns4、ns7.baidu.com附带公网 IP判定为企业自建 DNS 集群非阿里云 / Cloudflare 第三方托管可后续执行dig ns1.baidu.com baidu.com AXFR测试域传送漏洞大厂大概率拦截但属于标准化侦察步骤。域名状态 6 条全保护锁定运营商 域名服务器双重开启删除、转移、更新保护完全杜绝域名劫持、域名过户类攻击面域名底层防护完善。注册商 MarkMonitor国际企业品牌防护专用注册商专门用于大厂域名安全管控侧面说明目标域名安全管理等级高。点击此处这是注册人反向 WHOIS 查询核心功能输入企业注册主体名称批量拉出该公司名下所有注册域名完成资产拓线属于被动信息收集核心手段。域名列批量展示百度全部名下域名dwz.cn短链接服务、shifen.com百度搜索跳转、openrasp.cn百度开源安全项目、baidu-img.cn图片存储等。渗透价值一次性拓展大量未被注意的边缘业务域名边缘站点往往安全防护弱更容易找到漏洞。注册人列全部统一为「北京百度网讯科技有限公司」用来校验资产归属过滤无关域名。邮箱列重点情报点出现多条百度内部业务邮箱domainmasterbaidu.com域名运维专用邮箱核心社工线索ericbaidu.com员工业务邮箱实战价值① 收集企业内部邮箱列表用于社工钓鱼、密码爆破、泄露库检索② 用收集到的邮箱再做邮箱反查域名进一步挖掘更多隐藏资产。BR/PR 权重字段辅助判断域名业务规模比如baidu.comPR9是核心主站权重 0 的多为内部测试、小众业务站侦察优先级更高。2ICP 备案信息查询打开工信部官方备案平台https://beian.miit.gov.cn/顶部切换标签至「ICP 备案查询」输入框填写目标域名baidu.com勾选「网站」选项点击蓝色搜索按钮输入框填入主体备案许可证号京ICP证030173号勾选「网站」点击搜索主办单位名称统一为北京百度网讯科技有限公司交叉确认所有条目归属同一企业主体无无关第三方域名资产范围可信。多条服务备案号京 ICP 证 030173 号 - 1、-2、-28、-106…… 共 306 条每一条后缀编号对应一套独立网站 / 业务域名代表百度主体备案了 306 个线上业务站点可逐条点开详情收集全部一级域名、业务子站。两种查询方式对比总结查询输入内容返回结果核心用途域名 baidu.com单条域名备案详情核验单个域名归属、备案主体许可证号 京 ICP 证 030173 号企业全部 306 条备案列表批量收集企业旗下所有备案域名完整拓线资产当第三方站长工具屏蔽大厂域名、WHOIS 开启隐私保护无法获取完整企业信息时可使用工信部官方 ICP 备案系统查询。备案数据由国家工信部统一存档不受平台屏蔽、域名隐私规则限制可精准核验企业实名主体同时批量导出该企业备案的全部网站域名是被动资产拓线的核心补充手段。全程仅读取公开备案档案属于合规被动信息收集。3天眼查・域名信息补充拓线实操打开天眼查官网https://www.tianyancha.com/搜索框粘贴主体名称baidu.com点击搜索进入企业详情页工信部 ICP 备案仅能获取网站备案域名主体天眼查依托工商公示数据可深度挖掘企业全维度关联线索是绕过 WHOIS 隐私保护的补充侦察手段。输入备案获取的企业全称后可提取企业座机、注册地址、子公司清单、知识产权、招投标信息等公开工商档案通过旗下 364 家关联企业循环拓线能大幅扩大目标资产范围同时收集大量社工可用的人员、联系方式线索。该操作仅读取国家公示工商数据全程无数据包发送至目标业务服务器属于合规被动信息收集。4DNS 服务器验证DNS 域传送AXFR是 DNS 协议的同步机制一台备用 DNS 服务器从主 DNS 服务器同步全部子域名解析记录。如果管理员配置不当允许任意外部机器执行 AXFR 查询攻击者一次就能拿到该域名下所有子域名大幅扩大资产范围属于高危信息泄露漏洞。你截图里百度的 DNSns1.baidu.com ~ ns7.baidu.com就是用来做这个测试的目标。# 验证 DNS 服务器是否支持域传送AXFR dig ns1.baidu.com baidu.com AXFR预期结果百度会拒绝域传送请求返回Transfer failed.或空结果博客文字说明对于自建 DNS 的目标可以测试 DNS 域传送漏洞AXFR。如果漏洞存在能一次性获取目标所有子域名记录。但像百度这类大厂通常都已修复仅作为标准化检查项。序号配图内容对应实操小节用途说明1爱站网 WHOIS 注册人反向查询完整结果截图含百度旗下域名列表(1) 爱站网同主体域名反查通过企业主体批量拓线同公司全部域名资产2工信部 ICP 备案系统baidu.com查询详情页截图(2) ICP 备案信息查询WHOIS 开启隐私保护时核验企业实名、批量导出备案网站3天眼查百度工商主页 股权结构全景图两张(3) 天眼查・域名信息补充拓线实操获取法人、子公司、股权架构拓展集团全量关联资产与社工线索4Kali 终端dig ns1.baidu.com baidu.com AXFR执行返回结果截图(4) DNS 服务器验证演示 DNS 域传送漏洞检测判断是否可一次性抓取全部子域名2.2 子域名收集子域名指xxx.baidu.com这类依附于一级主域名的分支站点通常包含后台管理、测试环境、内部业务、边缘服务防护强度普遍低于主站是漏洞挖掘的高频突破口。本节全部手段分为被动收集合规无主动发包和主动爆破需厂商授权才可操作。2.2.1 搜索引擎语法枚举各大搜索引擎会收录公开访问的页面利用专用搜索语法批量提取页面中暴露的二级、多级子域名全程纯被动查询无法律风险。通用查询语法以 baidu.com 为例site:baidu.com作用检索所有归属 baidu.com 的网页从中提取子域名inurl:baidu.com作用抓取 URL 内包含目标域名的页面挖掘冷门小众子域名2.2.2 证书透明度CT Log查询原理网站 SSL 证书强制同步至全球公开 CT 日志库日志完整记录该域名下所有申请过证书的子域名可搜到搜索引擎遗漏的测试域名、后台管理域名收集优先级最高。常用工具分类工具名称网址特点海外工具crt.shhttps://crt.sh/海外免费全球 CT 日志汇总子域名覆盖最全国内平台微步在线 SSL 测绘https://x.threatbook.cn/集成 CT 证书数据全网资产关联同步展示证书、IP、端口、网站指纹一站式收集国内平台SM2 国密证书透明平台https://www.sm2ct.cn/专门收录国内国密 SM2 算法 SSL 证书补充普通 CT 工具抓取不到的国企、政务、高校国密站点子域名在微步在线输入baidu.com进行搜索查看数字证书提取子域名核心字段授权域名每一条证书下方都有「授权域名」比如第一条*.haiwaiminsukezhan.com、*.qnydns.com 等98个域名这些带*的泛域名、二级域名就是 CT 日志收录的资产全部收集出来就是目标的隐藏子域名。页面显示「证书不可信」不用管这个提示只是证书签发机构、域名主体和baidu.com不匹配只是百度相关 IP 上挂载的第三方证书不影响提取域名全部授权域名都可以记录下来最后人工筛选真正属于baidu.com的资产即可。实战价值国内平台无需翻墙访问稳定专门适配国内备案域名、国密证书可抓取测绘平台、搜索引擎遗漏的测试域名、后台域名补充大量隐藏资产锐成、微步可直接关联IP资产省去多平台切换查询。补充对比crt.sh全球数据量最大但境外网络访问慢、经常加载超时国内CT工具国内站点收录完整访问稳定但海外企业域名覆盖弱两者搭配使用效果最佳。配图说明使用锐成CT日志查询页面截图放置在本段下方。2.2.3 空间测绘平台子域名收集原理空间测绘引擎会持续全网扫描公网资产沉淀海量域名、IP、端口、Web指纹数据输入根域名即可一键导出所有存活子域名、对应IP、开放端口、中间件、SSL证书等全维度资产是实战中效率最高的被动收集方式。主流空间测绘工具FOFAhttps://fofa.info/国内老牌测绘平台语法灵活支持自定义资产筛选子域名、端口、指纹数据完善渗透侦察最常用打开FOFA官网登录账号搜索框输入语法domainbaidu.com执行查询页面批量展示所有存活二级/多级子域名同步附带解析IP、开放端口、Nginx/Apache中间件、网站标题、SSL证书指纹勾选所需资产一键导出子域名、IP清单区分正常业务站点、302跳转站点、离线失效站点。实战价值一次性批量获取大量线上可访问子域名省去手动枚举附带IP与端口指纹直接生成后续扫描目标列表支持多条件叠加筛选可快速过滤测试站、后台管理类高危资产。2.2.4 子域名爆破主动探测严格合规限制原理工具内置高频子名字典admin、test、api、backend、dev、oa 等批量发送 DNS 解析请求判断对应子域名是否存在。⚠️ 合规红线子域名爆破属于主动发包探测仅允许在自有靶场、厂商 SRC 公示授权域名下使用无书面授权对公网域名爆破违反《网络安全法》存在法律追责风险百度等大厂存在 DNS 访问限流、封禁策略不建议私自批量爆破仅本地学习演示。完整子域名收集标准流程搜索引擎语法枚举 → CT 证书日志查询 → 第三方情报平台被动收集 → 授权环境下子域名爆破多层手段交叉互补最大限度覆盖目标全部线上业务资产为后续端口扫描、漏洞探测提供完整目标清单。2.3 小程序与APP收集网站小蓝本https://sou.xiaolanben.com/该工具依托企业工商股权关联关系批量爬取企业名下全部APP、微信小程序、公众号、官网、新媒体账号、商标是资产测绘阶段核心数据源用于渗透前期扩大攻击面。合规注意仅可用于自身企业授权测试未获得书面授权禁止对第三方企业 App、小程序进行抓包、漏洞扫描、渗透测试违反《网络安全法》。