简介

信息收集是红队攻击前期的主要工作，只有收集到目标的详细信息才能为后面的攻击拿分打下坚实的基础，信息收集主要目的是收集目标的域名、子域名、网站、真实IP、敏感/目录文件、开放端口和中间件信息等等。通过各种渠道和手段尽可能收集到多的关于这个站点的信息，有助于我们更多的去找到渗透点，突破口。本文主要分享一些红队信息收集的思路，仅用于技术讨论和学习，利用此文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人承担，文章作者及本公众号团队不为此承担任何责任。

目标资产画像思路

建立资产画像的意义在于明确攻击重点，木桶能盛多少水取决于最短的那块板，同样，只要找到攻击目标防护中最薄弱的那一点，就能大大提升得分的成功率。这种方法推荐团队成员较多的攻击方使用。

资产清单

在拿到攻击目标后，就应该围绕该目标建立一套完整的资产清单。

资产清单可以包括以下内容（越详细越好）：

1. 目标资产归属类型（私企、国企、政府单位）

2. 目标主要资产（域名、系统、网站）

3. 与目标相关联的其他服务器（IP关联、服务关联）

4. 目标其他资产（旁站、c段、邮件服务器、dns服务器、代理服务器）

资产分级

目标资产一般来说可将其攻击优先级分为三个梯度：

第一梯度：私企、医疗、科技园区、工厂等，这些单位具体业务体量大、互联网暴露面多，属于优先攻击目标

第二梯度：政府单位（如人社厅/局、教育厅/局）、学校、 国企等，这部分单位防护等级高于第一梯度，但其安全意识可能较为薄弱，监控力度往往白天大于晚上，属于一般攻击目标

第三梯度电力、金融等，这些单位安全性高、暴露面少，安全规范和操作规范都高于前两梯度，在护网收尾工作时看看即可

资产画像

有了目标资产表以后，就可以结合目标资产清单和目标资产分级，对目标包括但不限于：目标使用的安全设备、网络拓扑结构、各站点系统部署架构、各站点脆弱性分析等方面进行分析，得到目标资产画像。这样很容易就能分析出来哪些是目标的边缘站点，从这些站点入手攻击一定是事半功倍。

常规的攻击思路

一般来说，到手的初始信息可能只有单位名称，再由攻击方根据单位名称去获取更多相关信息。

对于这步来说天眼查、爱企查、企查查等工具很有帮助。

以企查查查询绿盟为例：

要查看的重点在知识产权下的网站备案，这里可以看到目标的一些相关信息。

域名信息

微信小程序和公众号

对查询到的备案域名进行资产测绘，收集其IP和子域名信息

推荐工具：https://zh.subdomains.whoisxmlapi.com/lookup 子域名在线查询

https://site.ip138.com/ip/domain.htm ip138

同时也能对查询到的小程序进行抓包分析，看看能否找到可利用的信息（新的域名、供应商、是否存在waf等）

网络空间搜索引擎推荐fofa：

FOFA会显示系统端口信息，但是有时候不太准确，建议拿nmap再扫一下，加-oA参数输出。

之后要做的是web指纹的识别，这个推荐潮汐指纹识别：http://finger.tidesec.net/。

通过nslookup获取域名对应的IP，并将结果输出为Excel表格

@echo offsetlocal enabledelayedexpansionset input_file=domain_list.txtset output_file=output.xlsx(echo "Domain" "IP Address") > temp.txtfor /f "tokens=*" %%i in (%input_file%) do (    for /f "tokens=2" %%a in ('nslookup %%i ^| findstr /C:"Address:"') do (        echo %%i "%%a"    ) >> temp.txt)(echo ^<?xml version="1.0" encoding="UTF-8" standalone="yes"?^>echo ^<Workbook xmlns="urn:schemas-microsoft-com:office:spreadsheet" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:html="http://www.w3.org/TR/REC-html40"^>echo ^<Worksheet ss:Name="Sheet1"^>echo ^<Table^>) > %output_file%for /f "tokens=1,2" %%a in (temp.txt) do (    (    echo ^<Row^>    echo ^<Cell^>    echo ^<Data ss:Type="String"^>%%a^</Data^>    echo ^</Cell^>    echo ^<Cell^>    echo ^<Data ss:Type="String"^>%%b^</Data^>    echo ^</Cell^>    echo ^</Row^>    ) >> %output_file%)(echo ^</Table^>echo ^</Worksheet^>echo ^</Workbook^>) >> %output_file%del temp.txtecho "Output saved to %output_file%"

（使用时将域名列表写到domain_list.txt内，并确保其与该批处理脚本处于同一文件夹）当你发现有域名IP指向一个C段时，可先确定其是否为CDN，通过微步https://x.threatbook.com/查看 IP与域名绑定的历史记录，可能会存在使用CDN前的记录。利用“全球Ping”快速检测目标网址是否存在CDN，如果返回域名解析对应多个IP地址多半是使用了 CDN,如果得到的IP归属地是某CDN服务商，或者每个地区得到的IP地址不一样则说明可能存在CDN，可用以下几个网站检测：http://ping.chinaz.comhttp://ping.aizhan.com/http://www.webkaka.com/ping.aspx当确认不是CDN时，而该IP又是目标资产时，就可以直接打C段了。本次分享就先到这里，下一次我们来分享一下攻击目标无法在备案域名中找到的资产该如何进行信息收集。知识星球

高质量安全知识星球社区，致力于漏洞挖掘，渗透技巧，安全资料，星球承诺会持续更新0/1/NDay及对应的批量利用工具，团队内部漏洞库，内外网攻防技巧，你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态，解答交流各类技术问题。

涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。CatalyzeSec，安全技术水平的催化者，星球针对成员的技术问题，快速提供思考方向及解决方案，并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等，以引导者和催化剂的方式助力安全技术水平的提升。我们是一个快速成长的team，团队的发展方向与每一位星友的学习方向密切相关，加入我们，一起成为更好的自己！PS：随着星球内知识的积累，人员的增加，星球价格也会随之增加，前一百位加入我们的师傅可享受99元朋友价！

团队内部独家知识库

原文始发于微信公众号（CatalyzeSec）：你需要知道的护网红队信息收集思路（一）