SRC 信息收集全流程
📌写给小白:这篇文章会手把手带你了解"信息收集"是什么、为什么要做、具体怎么做。哪怕你完全零基础,跟着步骤走也能上手。所有专业术语都会用大白话解释。
学习目标
- 搞懂信息收集到底是什么,为什么它那么重要
- 学会在不同场景下用什么方式收集信息,以及收集来的信息能干什么用
一、信息收集概述
1.1 什么是信息收集?
用人话讲:信息收集就是"踩点"——在真正动手之前,先摸清目标(一个网站、一个公司、一个系统)的各种底细。
就像你想去一家公司"拜访",你得先知道:
- 这家公司在哪(IP 地址)
- 有几个门可以进(开放的端口)
- 里面是什么装修风格(运行的服务)
- 用的什么锁(操作系统、中间件)
- 有没有没锁的后门(漏洞)
这些信息收集得越全,后面"动手"的成功率就越高。
1.2 为什么信息收集这么重要?
看看安全圈大佬们常挂在嘴边的一句话:
渗透的本质就是信息收集!
大白话理解:
- 你知道的信息越多,目标在你面前就越"透明"
- 你掌握的信息越细,能下手攻击的点就越多
- 很多"漏洞"其实不是技术多牛逼,而是信息收集做到位了
一句话总结:获取信息 → 了解目标 → 掌握情况 → 寻找弱点
二、网络资产收集
2.1 开篇:我们要收集什么?
在实际场景中(渗透测试、SRC 挖洞、攻防演练),你可能会拿到不同的"起点信息":
| 给你的信息 | 你还需要找什么 |
|---|---|
一个域名(如example.com) | 公司名、IP 地址、子域名、管理员邮箱…… |
| 一个 IP 地址 | 这个 IP 上跑了哪些网站、绑定了哪些域名 |
| 一个公司名 | 这家公司有哪些网站、哪些 App、哪些公众号 |
| 啥也没给 | 那就先去查这家公司有哪些公开信息 |
核心目的:把目标公司名下的所有网络资产(网站、服务器、App、公众号、邮箱、电话等)全部扒出来。
🎯 为什么连邮箱和电话都要收集?因为后面做密码破解(口令爆破)的时候,这些可能就是用户名!
2.2 先了解一个概念:SRC 和补天平台
- SRC= Security Response Center(安全响应中心),是各大互联网公司设立的"漏洞收集站"。你发现他们网站的漏洞,提交上去,他们给你奖金。
- 补天平台(https://www.butian.net/)是国内知名的 SRC 平台之一,汇集了众多公司的漏洞奖励计划。
新手可以先在补天上看看哪些公司有奖励计划,挑一个练手。
2.3 企业信息查询平台
这是第一步:如果你只知道一个公司名,先去查这家公司的"户口本"。
| 平台 | 网址 | 说明 |
|---|---|---|
| 天眼查 | https://www.tianyancha.com/ | 最常用的企业信息查询 |
| 企查查 | https://www.qcc.com/ | 和天眼查类似 |
| 爱企查 | https://aiqicha.baidu.com/ | 百度家的,免费版够用 |
能查到什么?
- 公司注册信息、法人、注册资本
- 公司名下的域名(这是重点!)
- 公司名下的商标、App、微信公众号
- 联系方式(邮箱、电话)
小技巧:
- 小蓝本(https://www.xiaolanben.com/)可以免费查企业 App、公众号信息
- 如果免费额度用完了,去 PDD 或淘宝买临时账号,几块钱一天
2.4 ICP 备案查询
这是什么?在中国,所有网站都必须向工信部做"ICP 备案",就像汽车要上牌照一样。备案信息里会记录这个网站是谁的。
所以:你知道一个网站,想知道它背后是哪家公司?查 ICP 备案!
查询地址:
| 工具 | 网址 | 说明 |
|---|---|---|
| 备案查询 | http://www.beianx.cn/ | 第三方,好用 |
| Chinaz 备案查询 | https://icp.chinaz.com/ | 老牌站长工具 |
| 工信部官方 | https://beian.miit.gov.cn/ | 官方数据最准,但体验一般 |
和天眼查的区别:
- ICP 备案查的是"这个网站是谁备案的"——只能查域名
- 天眼查查的是"这家公司有哪些资产"——范围更广
2.5 使用搜索引擎收集信息
别小看这一步!直接在百度或必应(cn.bing.com)搜目标公司或域名,往往能发现很多"意外的惊喜":
- 内部系统意外暴露的链接
- 员工在论坛或 GitHub 上泄露的代码
- 测试域名、临时上线地址
🔍试试这样搜:
site:目标公司.com 后台或目标公司名 测试系统
2.6 子域名查询
什么是子域名?
- 主域名:
baidu.com - 子域名:
tieba.baidu.com、map.baidu.com、pan.baidu.com……
同一个公司名下往往有几十上百个子域名,分别对应不同的业务系统。主站可能防护得很好,但某个子域名可能疏于管理,漏洞百出。
🔧 方法一:网络空间测绘平台
这类平台就像"网络世界的 Google 地图",可以搜到某个域名下的所有暴露在互联网上的资产。
| 平台 | 网址 | 特点 |
|---|---|---|
| FOFA | https://fofa.info/ | 国内最流行,功能强大 |
| 鹰图 | http://hunter.qianxin.com/ | 奇安信出品 |
| 360Quake | https://quake.360.net/ | 360 出品 |
使用示例(FOFA):
- 在搜索框输入
domain="example.com"→ 查出该域名下所有子域名和 IP - 还能看每个子域名开了什么端口、跑了什么服务
🔧 方法二:在线子域名查询工具
| 工具 | 网址 |
|---|---|
| Chinaz 子域名查询 | https://tool.chinaz.com/subdomain/ |
| IP138 域名查询 | https://site.ip138.com/ |
| 查子域 | https://chaziyu.com/ |
用法:把目标域名输进去,自动列出所有已知子域名。
2.7 IP 反查域名
什么场景用?做攻防演练时,甲方只给了你一堆 IP 地址,没给域名。这时候就要用 IP 反查域名。
工具:
| 工具 | 网址 |
|---|---|
| 爱站 DNS 查询 | https://dns.aizhan.com/ |
| Chinaz 同 IP 网站 | https://tool.chinaz.com/same |
| IP138 | https://site.ip138.com/ |
用法:输入 IP 地址 → 查出这个 IP 上绑定了哪些域名。
2.8 旁站
用人话讲:一台服务器上可以放多个网站。比如你用 PhpStudy 在自己电脑上搭了 3 个网站,它们共用一个 IP,但用不同域名访问。这些网站互称"旁站"。
为什么查旁站?
- 主站 A 安全做得很好,但同服务器的旁站 B 可能有个漏洞
- 通过 B 拿到服务器权限 → 顺带拿下 A
一句话:查旁站 = 看看目标服务器上还放了哪些"邻居",可能从邻居家翻墙进去。
2.9 C 段
什么是 C 段?
IP 地址由四组数字组成,比如192.168.1.1
- 前三个数字相同(
192.168.1)就是一个 C 段 - 所以
192.168.1.1~192.168.1.254都属于192.168.1.0/24这个 C 段
为什么查 C 段?
- 公司的公开服务器(官网)可能在
192.168.1.100 - 而同 C 段的
192.168.1.200可能是他们忘了上锁的内部数据库 - 扫描整个 C 段 = 翻遍整条街的门面,看哪家忘关门了
工具推荐:
| 工具 | 说明 |
|---|---|
| Cwebscanner | https://github.com/se55i0n/Cwebscanner |
| nmap(Kali 自带) | 命令:nmap 192.168.220.10/24 |
| FOFA | 语法:ip="111.180.139.0/24" |
2.10 Whois 查询
这是什么?每个域名在注册时都会留下"档案",包括注册人姓名、邮箱、电话、注册商等。这些信息就叫 Whois 信息。
能查什么?
- 注册人邮箱(可以用来社工或爆破)
- 注册人电话
- 域名注册商、注册时间、过期时间
工具:
| 工具 | 网址 |
|---|---|
| 爱站 Whois | https://whois.aizhan.com/ |
| Chinaz Whois | https://whois.chinaz.com/ |
2.11 通过域名获取 IP
场景:你有一个域名(如www.baidu.com),想知道它对应的服务器 IP 地址。
方法:
- 在线工具:https://ping.chinaz.com/ — 输入域名,一键查 IP
- 命令行:
- Windows 打开 cmd 或 PowerShell,输入
ping www.baidu.com - 或者输入
nslookup www.baidu.com
- Windows 打开 cmd 或 PowerShell,输入
💡
ping和nslookup是 Windows / Linux 自带的命令,不用装任何软件。
2.12 知识扩展:威胁情报中心
这类平台集成了域名、IP、Whois、恶意文件等大量数据,可以一站查到底。
| 平台 | 网址 |
|---|---|
| 微步在线 | https://x.threatbook.cn/ |
| 奇安信威胁情报中心 | https://ti.qianxin.com/ |
| 360 威胁情报中心 | https://ti.360.cn/#/homepage |
用法:输入 IP 或域名 → 查看其关联的所有信息,还能看到这个 IP 有没有被标记为恶意。
2.13 知识扩展:Google Hacking
这是什么?利用 Google(或百度、必应)的特殊搜索语法,精准找到你想看的信息。
常用语法(学几个就能用):
| 语法 | 作用 | 示例 |
|---|---|---|
site: | 限定搜索某个域名下内容 | site:example.com 后台 |
filetype: | 搜索指定文件类型 | filetype:pdf 保密 |
intitle: | 搜索标题中包含关键词的页面 | intitle:后台管理 |
inurl: | 搜索 URL 中包含关键词的页面 | inurl:login |
📖 深入学习:https://blog.csdn.net/Arthur_WangYu/article/details/145822576
2.14 网络资产收集总结图
公司名 / 域名 / IP │ ▼ ┌─────────────────────┐ │ 1. 企业信息查询 │ ← 天眼查、企查查、爱企查 │ 2. ICP 备案查询 │ ← 查出网站背后的公司 │ 3. 搜索引擎收集 │ ← 百度、必应搜一搜 │ 4. 子域名查询 │ ← 扩大攻击面 │ 5. IP 反查/旁站/C段 │ ← 翻邻居的门 │ 6. Whois 查询 │ ← 查注册信息 │ 7. 威胁情报中心 │ ← 一站式查询 └─────────────────────┘ │ ▼ 拿到目标的:域名、IP、子域名、邮箱、电话三、Web 信息收集
3.1 收集什么?—— 四要素
走到这一步,你已经知道目标有哪些网站了。现在要对具体某个网站做深度信息收集,重点关注四个东西:
操作系统 + 中间件 + 编程语言 + 数据库= 网站的"四要素"
知道这些有什么用?举个例子:
- 发现目标网站是Linux系统 → 如果有文件下载漏洞,可以试着读
/etc/passwd(Linux 用户列表文件) - 如果是Windows系统 → 可以试着读
C:\Windows\system32\drivers\etc\hosts(主机映射文件) - 知道中间件(如 Apache、Nginx、IIS)的版本 → 查对应版本有没有公开漏洞
- 知道编程语言(PHP、Java、ASP.NET) → 针对性地找该语言常见的漏洞类型
3.2 如何收集这些信息?
🔍 方法一:看网页特征
案例 1:访问http://www.chungwah.com.hk/?page_ID=44
- 看到 URL 里有
.hk和page_ID=→ 大概率是 Windows + ASP 或 ASP.NET - (这只是初步判断,不一定 100% 准确)
案例 2:某个博客网站用的是 WordPress → 大概率是 Linux + PHP + MySQL
🔍 方法二:搜索引擎
操作:在搜索引擎搜www.example.com php或www.example.com 技术架构
🔍 方法三:查看 HTTP 响应头
用浏览器开发者工具(F12)→ 网络(Network)→ 看 Response Headers:
Server: Apache/2.4.41→ 中间件是 Apache,版本 2.4.41X-Powered-By: PHP/7.4→ 语言是 PHP
🔍 方法四:端口扫描(找数据库)
数据库不能直接在网页上看到,但可以通过扫描端口发现:
- MySQL:端口 3306
- SQL Server:端口 1433
- Redis:端口 6379
- MongoDB:端口 27017
在线端口扫描工具:直接搜"在线端口扫描"就能找到一堆,网站不行就换一个。
3.3 目录扫描
场景:目标网站https://example.com/— 表面上只有几个公开页面。但你不知道它后台还有哪些"隐藏文件夹"。
目录扫描就是:暴力猜测目标网站下有哪些目录和文件。
常用工具:
- 御剑— 经典目录扫描工具,Windows 上用的多
- 7kbscan— 也是常用的目录扫描器
扫描能得到什么?
https://crm.ru.vivo.com/phpmyadmin/ 👈 找到数据库管理后台! https://crm.ru.vivo.com/admin/ 👈 找到管理后台 https://crm.ru.vivo.com/backup/ 👈 找到备份文件🚩 找到后台地址后,下一步就是尝试口令爆破(猜密码)——这属于后面的课程内容了。
四、信息收集总结
完整流程概览
公司名 / 域名 │ ▼ 第一阶段:网络资产收集 ├─ 查企业信息(天眼查等) ├─ 查 ICP 备案 ├─ 找子域名 ├─ 找旁站 / C 段 └─ 查 Whois / 威胁情报 │ ▼ 你拿到了:这家公司所有的域名、IP、子域名列表 │ ▼ 第二阶段:Web 信息收集(针对每个网站) ├─ 判断操作系统、中间件、语言、数据库 ├─ 端口扫描找数据库 └─ 目录扫描找敏感路径 │ ▼ 你拿到了:每个网站的技术细节 + 可能存在的入口作业(练手用)
在补天平台公益SRC找一家公司进行一次完整的信息收集,把收集到的信息填入表格。
练手步骤:
- 用天眼查查这家公司的域名
- 用 FOFA 查这些域名的子域名和 IP
- 用 Whois 查域名的注册信息
- 用目录扫描工具扫一下找到的网站
- 把所有信息整理成一个表格
扩展资料
- 安全工具汇总:https://forum.ywhack.com/bountytips.php?tools
最后说一句给小白的话:
信息收集不靠"技术",靠的是细心和耐心。别急着上手挖洞,先把信息收集这一步做到位,你会发现"漏洞"自己就冒出来了。每个大佬都是从这一步开始的,加油!