[Web 安全] Web 信息收集 —— 信息收集流程-EW帮帮网

🌟 想系统化学习 Web 渗透？看看这个：[Web 安全] Web 安全攻防 · 学习手册

提示：本章不涉及任何具体信息收集技术，仅仅是讲解收集这些信息我能干啥，以及如何才能比较全面的收集信息。

0x01：信息收集前言

在我们进行渗透测试之前，第一步就是进行信息收集，在这个阶段，我们要尽可能地收集目标组织的信息。所谓 “知己知彼，百战不殆”，我们越是了解测试目标，我们后续进行渗透时就容易。

不知道小伙伴们看人家分享挖洞经验时有没有这个感觉，为啥别人挖洞跟喝水一样？一个 admin : 123456 就进后台了，随便修改一个参数就越权了，为啥我挖没有？

这其实就是信息收集的重要性，一个好的信息收集导致的结果就是在捡漏洞，一个坏的信息收集导致的结果就是处处碰壁。那么下面，笔者结合自己的实战经验，来讲讲如何做好一个信息收集，我们要如何收集才算一个比较全面的信息收集（欢迎大佬补充），以下是我整理的信息收集思维导图，是一个层层递进的关系：

笔者第一步比较喜欢收集企业或组织目标信息，我们渗透时要么知道一个厂商，要么知道一个域名，但是你要知道，域名是谁的呀？是个人或厂商的呀。

所以我们是不是可以根据拿到的信息先去企查查之类的站点收集它们的根域名，比如 baidu.com，baidu.cn 之类的。然后我们是不是还可以去顺便收集一下这个公司的地址，联系电话，邮编之类的信息（我们后期社工可能会用的，一般 SRC 可以从这些信息里面推测这个公司起名字的习惯）。

顺带我们还能通过收集到的企业信息去看看这个企业发布了哪些系统呀，软件呀，微信小程序呀，这些都是它们的资产，也是我们的突破口呀。

在上一阶段我们确定了目标组织的名称后，就可以尝试收集根域名了。一个公司或者一个组织它们可能会买多个根域名，一个根域名可能会衍生出多个子域名（一个子域名通常就对应一个具体的 Web 服务了）。所以嘞，收集根域名是很重要的，它为我们后期收集子域名奠定了基础。

假设上一阶段我们拿到了 baidu.com 这个根域名，是一个搜索，那么这一阶段我们可以继续去收集 baidu.com 衍生出来的子域名，比如 news.baidu.com（百度新闻），map.baidu.com（百度地图）。。。。

这一个子域名就对应一个具体的业务了，所以从这一阶段开始，我们就在尝试摸清对方的在线业务有哪些，通过子域名爆破，我们可能会爆破出一堆测试业务，这种业务就非常容易出漏洞。

继续，买过域名的宝子都知道，我们可以为域名配置映射，一般情况下一个子域名就可以映射一个 IP，即，我们上一阶段收集到的每个子域名可能都对应一台服务器。那么这个阶段，我们就要尝试收集目标具体的公网服务器 IP 了，此时已经是针对具体的物理设备进行网络定位了（涉及 CDN 绕过技术）。

我们确定了目标公网服务器的 IP 后，就可以开始探测这个服务器开放了哪些端口了。一个端口就对应了一个服务，此时我们关注的就不仅仅是一个 Web 服务了，可能还有 22 的 SSH，3306 MySQL 数据库这些服务，进一步扩大我们的攻击面。

为啥要把目录接口信息收集放在这里，这是因为笔者觉得，Web 服务即 80 或 443 或 8080 端口，它本质上也仅仅是一个端口开放出来的服务，我们这里只是针对特定的端口的一个信息收集思路。比如你收集到 10.2.3.4 这个 IP 开放了 80 口，是一个 Web 服务，你一访问是一个站点。

那么针对这个站点咋收集呢，收集它的目录呗，比如 /phpMyadmin/login.php 是一个登录的接口，/phpMyadmin/Signin.php 是一个注册的接口，这样我们的资产范围是不是进一步扩大了。

在目录接口信息收集这边，我们还可以为每个路径打标签，比如 WordPress，比如 PhpMyAdmin，有些路径就是这些开源系统独有的，此时就顺带做了指纹识别。

其实在目录接口信息收集里，我们还应该收集接口的请求参数，比如 ?id=1 这种，也是为我们后续的测试做铺垫。

这部分是贯穿于整个信息收集始终的，也是非常重要的一点。你能收集到人家公司人员信息，就可以考虑社工，你要是收集到泄露个人敏感信息的路径，不用挖，直接就可以交漏洞，直接批量刷。如果多的话直接给高危。

以上写的有点抽象，总而言之就是层层递进，争取做到不漏下任何一处信息。那么后面的章节，我们将会围绕上面的流程，来具体讲讲，每个阶段可以采用哪些信息收集技术（笔者上面还漏了一个 WAF 即防火墙的信息收集，这个其实我们一般进行信息收集的过程中也不会触发啥防火墙，等真实渗透的时候再考虑也不迟）。