前沿:以下也是根据长亭组织的培训讲师得出的一些思路..
第一阶段:战略侦察(被动情报网络构建)
-
企业画像测绘
-
工商情报:国家企业信用信息公示系统(http://www.gsxt.gov.cn/)+ 天眼查/企查查API -
组织架构还原:LinkedIn Sales Navigator高级搜索( current_company:"目标公司" title:"IT") -
技术投资分析:Crunchbase技术栈标签 + StackShare技术分析 ![渗透测试完整信息收集深度思路技术(附工具表)]( "渗透测试完整信息收集深度思路技术(附工具表)")
-
域名资产穿透
-
MX记录真实IP定位(非第三方邮件服务时有效) -
全球PING节点测试(https://asm.ca.com/en/ping.php) -
SSL证书关联IP(https://crt.sh/?q=%.target.com) -
SecurityTrails历史DNS(https://securitytrails.com/) -
ViewDNS反向IP查询(https://viewdns.info/reverseip/) ![渗透测试完整信息收集深度思路技术(附工具表)]( "渗透测试完整信息收集深度思路技术(附工具表)")
-
DNS深度解析: # 多维度DNS记录提取dig target.com ANY +noall +answer# SPF/DKIM策略检测dig txt _dmarc.target.com -
历史IP追迹: -
CDN穿透技术: -
攻击面扩张(子域名爆破)
# 多引擎联动侦查amass enum -passive -d target.com -config config.ini# 证书透明日志爆破ctfr -d target.com -o subs.txt# 字典深度爆破(整合用户提供字典)gobuster dns -d target.com -w ~/Dicts/blackJack-Dicts/domain-top5000.txt -
人员资产画像
-
Dehashed全量查询(https://www.dehashed.com/) -
HIBP企业级监控(https://haveibeenpwned.com/UnifiedSearch) -
CheckUserNames跨平台检测(https://checkusernames.com/) -
Sherlock聚合搜索( sherlock username) -
邮箱格式验证: # 使用Hunter API验证import hunteriohunter.verify_email('[email protected]', api_key='key') -
社交账号关联: -
密码泄露轨迹:
第二阶段:战术扫描(主动攻击面测绘)
-
网络空间测绘
-
高效资产发现: # 无状态扫描masscan -p0-65535 192.168.0.0/16 --rate 100000 -oG masscan.log# 存活验证naabu -list masscan.log -verify -o live_hosts.txt -
云资产暴露: # S3桶扫描s3scanner -b blackJack-Dicts/buckets.txt -r us-east-1# Azure存储探测MicroBurst.ps1 -Export Invoke-EnumerateAzureBlobs -
服务指纹深度识别
# 动态服务识别nmap -sV --version-intensity 9 -O -T4 -iL live_hosts.txt# Web技术栈分析wad -u https://target.com -tech-detect -o wad.json -
Web攻击面挖掘
-
路径爆破强化: # 动态字典生成cewl https://target.com -d 3 -m 5 -w custom_dict.txtffuf -w custom_dict.txt:FUZZ -u https://target.com/FUZZ -t 100 -
编码漏洞探测: <!-- 检测WAF编码过滤能力 --><script>u0061u006cu0065u0072u0074u0028u0031u0029</script> -
邮件系统渗透路径
# MX记录定位dig +short mx target.com | cut -d' ' -f2# C段端口扫描naabu -p 25,110,143,465,587,993,995 -iL c_class.txt# SMTP用户枚举smtp-user-enum -M VRFY -U ~/Dicts/SuperWordlist/users.txt -t mail.target.com
第三阶段:攻击面建模(漏洞关联分析)
-
资产关联图谱
graph LR A[主域名] --> B[子公司域名] A --> C[云存储桶] B --> D[泄露GitHub账号] C --> E[.bak配置文件] D --> F[数据库凭证] E --> F F --> G[数据库服务器] -
脆弱性优先级矩阵
攻击面 利用难度 影响范围 关键性 未授权数据库 低 整个系统 ★★★ 邮件服务器漏洞 中 通讯系统 ★★☆ 弱口令后台 低 业务系统 ★★☆ -
定制化攻击字典
-
用户名生成: # 中文用户名掩码生成from ChineseMaskReflector import generategenerate("张三", output="user_dict.txt") -
密码规则引擎: # 结合RW_Password规则rw_password -i raw_dict.txt -o weak_pass.txt -c "公司简称2024"
第四阶段:武器库部署
-
专项工具集
工具类型 工具名称 实战应用场景 字典工程 SuperWordlist 针对金融/医疗等行业的弱口令爆破 绕过武器 AboutSecurity WAF绕过payload库 路径探测 blackJack-Dicts 敏感文件扫描 用户生成 ChineseMaskReflector 中文企业用户名爆破 -
自动化情报流水线
# 情报收集自动化脚本框架classIntelCollector:def__init__(self, target): self.target = target self.recon_data = {}defpassive_recon(self): self.recon_data['whois'] = whoisx.whois(self.target) self.recon_data['subdomains'] = amass.run(self.target)defactive_scan(self): self.recon_data['ports'] = rustscan.scan(self.target) self.recon_data['web_paths'] = ffuf.fuzz(self.target)
关键攻击路径示例
邮件系统突破路径:
-
通过MX记录获取mailserver01.target.com -
C段扫描发现192.168.5.0/24段开放465端口 -
SMTP服务识别为Exim 4.94(存在CVE-2020-28017) -
使用AboutSecurity中的exim_exploit.py攻击 -
获取服务器权限后提取用户邮箱列表 -
匹配Dehashed泄露的密码生成定向字典 -
爆破OWA登录门户(https://owa.target.com)
Web系统突破路径:
-
子域名扫描暴露dev.target.com -
目录爆破发现/dev-backup.zip -
下载源码发现数据库配置: $db_host = 'dbsrv01.internal';$db_user = 'dev_admin';$db_pass = 'P@ssw0rd2023!'; -
通过SSH隧道连接内网数据库 -
提取用户凭证哈希 -
使用RW_Password规则生成彩虹表碰撞
防御对抗技巧
-
WAF绕过技术:
GET /search?q=<svg onload=alert()> HTTP/1.1Host: target.comX-Forwarded-For: 1.1.1.1Content-Type: application/x-www-form-urlencoded; charset=utf-7 -
日志清除策略:
# 清除Linux系统日志find /var/log -type f -exec shred -zuf {} ;# Windows事件日志清理wevtutil cl security & wevtutil cl system
将工具按照功能分类重新整理成结构化表格:
红队信息收集工具分类表
| 分类 | 工具名 | 下载/访问地址 | 类型 | 特点 |
|---|---|---|---|---|
| 主域名收集 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 子域名收集 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 搜索引擎类 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| DNS枚举 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 端口扫描 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 指纹识别 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 目录扫描 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 漏洞扫描 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
工具使用特点总结:
-
多平台覆盖:
-
命令行工具:Nmap、Dig、Gobuster(适合自动化) -
图形化工具:Goby、御剑(适合可视化操作) -
在线平台:FOFA、ZoomEye(无需安装) -
专项能力突出:
-
高速扫描:Masscan(160w/s) -
指纹识别:EHole(重点系统定位) -
子域名收集:OneForAll(多源整合) -
目录扫描:dirmap(强于传统工具) -
红队特色工具:
-
大宝剑:边界资产梳理 -
Glass:API驱动的指纹识别 -
JSFinder:JS文件敏感信息提取 -
企业级解决方案:
-
商业工具:AWVS、Nessus(深度扫描) -
在线服务:云悉、微步在线(持续监控)
注:Kali内置工具可通过
apt install [工具名]安装,图形化工具需单独下载安装包
✅ 漏洞挖掘思维导图
✅内部知识库目前建设中、后续进入圈子免费进入
【实战为王】不同于传统课程的纸上谈兵!!
后期我们将持续发布原创代码审计、src等漏洞挖掘文章,后期有些源码、挖掘思路等也会放进圈子哈~
有任何问题可后台留言
原文始发于微信公众号(Rot5pider安全团队):渗透测试完整信息收集深度思路技术(附工具表)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论