在网络安全渗透测试领域,资产收集的深度直接决定渗透测试的成败——新手困于“信息零散、攻击面狭窄”,高手却能从1个关键词出发,织就覆盖目标主体、关联企业、隐藏资产的全域攻击网。真正的资产收集高手,不仅能精准挖掘已知目标的核心资产,更能通过“关联辐射+隐藏线索挖掘”,让攻击面扩大10倍以上。本文将从“精准收集-模糊辐射-科学排序-实战落地-未来趋势”五大维度,拆解一套专业、可落地、具前瞻性的资产收集体系,助力渗透测试人员突破效率瓶颈。
一、 点对点精准资产收集:锁定目标的“三维破壁”策略
点对点收集的核心是“由表及里、层层深挖”,针对已知关键词对应的目标主体,从域名/IP、子站/子域名、端口/服务三个维度,构建目标的基础资产图谱,为后续渗透找到“精准突破口”。
1. 域名/IP收集:摸清目标的“网络身份底牌”
域名与IP是目标暴露在公网的核心标识,收集的关键在于“关联溯源+历史挖掘+内外网区分”,避免遗漏关键线索。
- 核心工具与进阶实操
- 基础工具:Whois查询(获取域名注册人、邮箱、服务商、注册时间)、IP138/站长工具/爱站网(查询域名解析IP、服务器地理位置、运营商)。
- 进阶工具:DNSdumpster(获取域名的DNS记录、子域名、邮件服务器)、ViewDNS(查询历史DNS解析记录)——很多目标会更换IP,但历史IP可能仍残留测试服务、敏感数据或未修复漏洞,是容易被忽视的“宝藏线索”。
- 实操技巧:通过Whois信息中的注册邮箱/电话反向搜索,可发现同一主体注册的其他域名(很多企业会用同一邮箱注册多个业务域名);利用IP反查域名工具,输入目标IP可获取该服务器上部署的所有域名,挖掘“一机多站”的隐藏资产。
- 关键知识点:公网IP与内网IP的精准区分
公网IP(如203.0.113.x、123.125.x.x段)是运营商分配的可直接访问地址,是渗透测试的核心目标;内网IP(192.168.0.0/16、10.0.0.0/8、172.16.0.0/12网段)属于内部局域网地址,若收集过程中发现内网IP暴露在公网,大概率存在“内网穿透配置不当”“VPN服务暴露”或“端口映射漏洞”,可作为内网渗透的重要切入点。
2. 子站/子域名收集:揪出目标的“隐藏软肋”
主站通常部署了WAF、防火墙等防护设备,而子域名、子站(尤其是测试站、废弃站、业务子站)的防护强度极低,是渗透测试的“黄金入口”,核心在于“多工具聚合+特征识别”。
- 工具选型与实操要点
- 入门级工具:子域名挖掘机、Layer子域名挖掘机(适合快速爆破常见子域名,支持自定义字典)。
- 进阶级工具:OneForAll(多数据源聚合,支持DNS记录、证书透明度日志、搜索引擎、DNS暴力破解等多种方式,挖掘效率极高)、Amass(支持被动收集+主动探测,能发现更多冷门子域名)、Sublist3r(集成多个搜索引擎接口,快速抓取子域名)。
- 高阶技巧:利用证书透明度日志(如crt.sh、censys.io)查询目标域名的SSL证书,证书中往往包含大量未公开的子域名;通过搜索引擎语法(如“site:xxx.com -www”)排除主站,精准抓取子站。
- 核心价值:隐藏测试站的识别与利用
测试站、开发站的命名通常带有明显特征,如包含“test、dev、beta、backup、stage、uat”等关键词,这类站点普遍存在弱口令、未授权访问、源码泄露、数据库配置暴露等高危漏洞。例如某渗透案例中,通过OneForAll挖掘出backup.xxx.com,该站点未设置访问权限,直接下载到包含管理员账号密码的数据库备份文件。
3. 端口/服务收集:识别目标的“漏洞窗口”
拿到目标IP后,端口扫描的核心是“全端口覆盖+服务版本精准识别+漏洞关联”,避免因仅扫描常见端口而错过高危漏洞。
- 操作策略与工具组合
- 全端口扫描工具:Masscan(扫描速度极快,每秒可扫描百万级端口,适合大规模IP端口扫描)、Nmap(支持全端口扫描+服务版本识别+漏洞探测,精准度高)。
- 实操步骤:先用Masscan对目标IP段进行全端口快速扫描(命令示例:
masscan -p1-65535 目标IP --rate=10000),获取开放端口列表;再用Nmap对开放端口进行精准扫描,开启服务版本识别(-sV)、操作系统探测(-O)、漏洞脚本扫描(--script=vuln),获取服务类型、版本信息及潜在漏洞。
- 关键技巧:服务版本与漏洞的快速关联
收集到服务版本后,立即通过CVE细节库、NVD、Exploit-DB等平台查询对应版本的已知漏洞。例如:- Apache 2.2.21版本存在目录遍历漏洞(CVE-2011-3192);
- Nginx 1.10.3版本存在HTTP/2协议漏洞(CVE-2016-1247);
- MySQL 5.5.27版本存在弱口令爆破风险,且部分版本存在权限提升漏洞。
优先针对存在高危漏洞的服务版本进行渗透,可大幅提升突破效率。
二、 模糊资产收集:扩大攻击面的“辐射式”进阶技巧
点对点收集仅能覆盖目标主体的资产,而模糊收集的核心是“跳出单点、关联辐射”,通过挖掘目标的关联企业、代码仓库、第三方服务等隐藏领域,将攻击面扩大一个数量级,找到目标的“迂回突破点”。
1. 关联企业资产收集:挖透“亲友团”的漏洞
很多时候目标主体的防护坚不可摧,但其子公司、关联公司、上下游合作企业的资产防护薄弱,且这类企业往往与目标主体共用运维体系、账号密码、技术架构,漏洞具有高度复用性,是“迂回突破”的绝佳跳板。
- 工具与实操方法
- 企业信息查询工具:企查查、天眼查、启信宝、爱企查(查询目标企业的控股子公司、参股公司、分公司、分支机构、上下游合作企业、法定代表人关联企业)。
- 实操技巧:输入目标企业名称后,重点关注“对外投资”“分支机构”“关联企业”“合作供应商”栏目,获取这些关联企业的名称、官网域名、备案信息;通过关联企业的域名反向挖掘IP、子站,补充攻击面。例如以“某教育局”为关键词,可查询到其下属的20余所学校、3家教育科技公司、5家培训机构的资产,这些资产的防护强度普遍低于教育局主站。
- 进阶策略:关联企业资产的漏洞复用
关联企业与目标主体往往使用相同的技术架构(如统一采购的CMS系统、服务器集群)、相同的运维团队(账号密码规则一致)、相同的域名后缀(如xxx.edu.cn、xxx-school.cn)。例如某渗透案例中,通过攻破目标下属学校的网站,获取到的管理员账号密码(采用“学校简称+123456”规则),直接登录了教育局主站的后台系统。
2. 代码仓库信息收集:捡漏“内部机密”
这是性价比极高的收集方式——企业员工因操作失误,常将公司的源码、配置文件、账号密码、API密钥等敏感信息上传到GitHub、Gitee等公开代码仓库,这些信息是渗透测试的“捷径”,核心在于“精准搜索+敏感文件识别”。
- 精准搜索策略
- 关键词组合:目标名称+敏感词(如“xxx公司 config”“xxx系统 password”“xxx database”“xxx 源码”“xxx API密钥”);目标域名+敏感词(如“xxx.com 数据库配置”“xxx.cn 账号密码”);技术栈+目标信息(如“Java xxx公司”“Python xxx系统”)。
- 文件类型筛选:重点关注
.yml、.properties、.ini、.env、.sql、.log等配置文件和日志文件,这些文件往往包含数据库连接信息、服务器账号密码、API密钥;关注.pem、.key等私钥文件,可直接用于SSH登录服务器;关注.php、.java、.py等源码文件,可能包含硬编码的账号密码或业务逻辑漏洞。
- 高阶技巧:挖掘员工个人仓库
部分员工会在个人代码仓库中上传工作相关的代码,且未设置私有权限。可通过以下方式挖掘:搜索目标企业的员工邮箱后缀(如“@xxx.com”)、员工昵称(如“xxx-开发”“xxx-运维”)、内部系统名称(如“xxx内部管理系统”),找到员工个人仓库中的敏感信息。例如搜索“@xxx.com mysql 配置”,发现某员工上传的个人项目中包含公司数据库的账号密码。
3. 第三方服务与关联资产收集:拓展攻击面边界
除了关联企业和代码仓库,目标的第三方服务、合作伙伴平台、备案信息等,也是隐藏资产的重要来源,新手往往会忽略这部分。
- 第三方服务收集:查询目标网站使用的第三方服务,如CDN服务商、云服务器提供商、支付接口服务商、数据分析工具等,通过这些第三方服务的配置漏洞或信息泄露,获取目标资产。例如通过目标网站的CDN配置,找到其源站IP。
- 备案信息挖掘:登录工信部ICP备案查询平台、天眼查备案查询板块,输入目标主域名,获取备案主体名称、备案号、网站负责人信息。同一备案主体下的所有域名都是目标的关联资产;通过备案号反向搜索,可找到该备案主体下的所有网站;将网站负责人的姓名、电话、邮箱与Whois信息交叉比对,可发现更多未公开的关联域名。
三、 资产整理与优先级排序:从“信息杂乱”到“精准打击”
收集到海量资产后,盲目测试只会浪费时间和资源。科学的分类与优先级排序,是提升渗透效率的核心——将精力集中在“高价值、易突破”的资产上,才能快速实现突破。
1. 资产分类:构建标准化资产图谱
按照资产的形态、暴露场景、渗透难度,将资产划分为四大类,每类资产对应明确的渗透重点和工具选型,避免测试方向混乱。
| 资产类型 | 划分标准 | 核心渗透重点 | 推荐工具 | 常见漏洞类型 |
|---|---|---|---|---|
| Web资产 | 可通过浏览器访问的网站、后台管理系统、API接口、小程序后台、H5页面等 | SQL注入、XSS跨站脚本、未授权访问、文件上传、逻辑漏洞、CMS漏洞 | Burp Suite、AWVS、SQLMap、Dirsearch、Nuclei | SQL注入、XSS、文件上传、命令执行、未授权访问 |
| 内网资产 | 内网IP段对应的服务器、交换机、打印机、VPN服务、工控设备、办公系统等 | 弱口令爆破、内网横向移动、权限提升、漏洞利用(如MS17-010)、配置不当 | Metasploit、Cobalt Strike、Nessus、Empire | 永恒之蓝、弱口令、权限配置不当、内网端口映射漏洞 |
| 移动资产 | 目标开发的Android/iOS APP、小程序、移动SDK等 | 逆向分析、API接口漏洞、本地存储敏感信息、证书校验绕过、逻辑漏洞 | JEB、Frida、Charles、Apktool、MobSF | API未授权访问、本地存储明文密码、证书校验绕过 |
| 物联网资产 | 摄像头、门禁系统、智能电表、工业控制设备、智能家居设备等 | 弱口令、固件漏洞、协议安全问题(如MQTT、Modbus协议漏洞)、未授权访问 | Shodan、ZoomEye、Firmware Analysis Toolkit、Nmap | 弱口令、固件后门、协议未加密、未授权访问 |
2. 资产优先级排序:建立量化评分模型
优先级排序的核心逻辑是“风险值=暴露面大小×漏洞利用难度×资产重要程度×历史漏洞记录”,通过建立《资产优先级量化评分表》,对每一项资产进行打分,优先测试高风险资产。
资产优先级量化评分表(总分25分)
| 评分维度 | 评分标准(0-5分,5分最高) | 权重占比 | 评分说明 |
|---|---|---|---|
| 暴露面大小 | 公网可直接访问(5分);需VPN/内网穿透访问(3分);仅内部局域网访问(1分);不可直接访问(0分) | 30% | 暴露面越大,被攻击的概率越高,优先级越高 |
| 服务版本新旧 | 已停止维护且存在高危漏洞(5分);有高危漏洞公告未修复(4分);有中危漏洞未修复(3分);主流稳定版本无漏洞(1分);最新版本(0分) | 25% | 版本越老旧、漏洞越严重,利用难度越低,优先级越高 |
| 资产重要程度 | 核心业务系统(数据库、支付后台、用户中心、核心数据存储)(5分);重要业务系统(办公系统、业务管理平台)(3分);测试/备用系统(2分);静态展示网站(1分) | 25% | 资产越重要,渗透成功后的价值越高,优先级越高 |
| 历史漏洞记录 | 曾爆出高危漏洞且未修复(5分);曾爆出中危漏洞且未修复(3分);有低危漏洞记录(1分);无漏洞记录(0分) | 20% | 有历史漏洞记录的资产,再次出现漏洞的概率更高 |
排序规则与执行策略
- 超高优先级(总分≥20分):立即投入测试,这类资产大概率存在可直接利用的高危漏洞,是突破目标的核心抓手;
- 高优先级(总分15-19分):作为核心测试目标,集中精力挖掘漏洞,优先使用自动化工具+手动测试结合的方式;
- 中优先级(总分10-14分):在高优先级资产测试完毕后跟进,重点关注是否存在组合漏洞;
- 低优先级(总分<10分):仅作为补充测试目标,无需投入过多精力,可通过自动化工具批量扫描。
行业适配调整建议
- 政企单位:提高“资产重要程度”权重至30%,核心业务系统(如政务平台、数据中心)优先级最高;
- 互联网企业:提高“服务版本新旧”权重至30%,云服务、API接口等暴露面大的资产优先级最高;
- 工业企业:提高“物联网资产”的优先级,重点关注工控设备、工业协议相关资产。
四、 实战案例:从1个关键词到突破防线的全流程还原
理论的价值在于落地,本节以“某教育局”为关键词,还原从资产收集到漏洞突破的全流程,展现本文方法论的实战效果。
1. 实战背景
目标关键词:某教育局(政企单位,核心资产为政务平台、学生信息管理系统、内部办公系统,防护重点为数据安全)。
2. 资产收集全流程
第一步:点对点精准收集(核心资产挖掘)
- 域名/IP收集:通过站长工具查询“某教育局”主域名,获取12个公网IP;通过Whois查询发现,注册邮箱同时注册了下属5所学校的域名;通过ViewDNS查询历史DNS解析,获取3个废弃IP(其中1个仍部署测试服务)。
- 子域名挖掘:使用OneForAll+Amass组合工具,挖掘出32个子站,包含
test.xxx.edu.cn(测试站)、dev.xxx.edu.cn(开发站)、oa.xxx.edu.cn(办公系统)、student.xxx.edu.cn(学生信息系统)等,其中test.xxx.edu.cn未设置访问权限。 - 端口扫描:用Masscan对12个公网IP+3个废弃IP进行全端口扫描,发现
test.xxx.edu.cn开放8080端口(Tomcat服务)、3306端口(MySQL服务);用Nmap精准扫描,识别出Tomcat版本为7.0.67(存在弱口令漏洞)、MySQL版本为5.5.27(无补丁更新)。
第二步:模糊辐射收集(攻击面扩大)
- 关联企业收集:通过企查查查询“某教育局”,获取下属20所学校、3家教育科技公司、2家培训机构的域名与IP,补充45个关联资产;
- 代码仓库收集:在GitHub搜索“某教育局 Tomcat 配置”“xxx.edu.cn 数据库”,发现一名运维人员上传的个人仓库中,包含
test.xxx.edu.cn的Tomcat管理员账号密码(admin/123456); - 备案信息挖掘:通过工信部ICP备案查询,发现该教育局备案主体下还有8个未公开的业务域名,其中包含
data.xxx.edu.cn(数据中心)。
第三步:资产排序与测试优先级
- 资产评分:
test.xxx.edu.cn(公网访问5分+Tomcat老旧版本5分+测试系统2分+无历史漏洞0分,总分12分→中优先级,但因获取到账号密码,直接升级为超高优先级);data.xxx.edu.cn(公网访问5分+未知版本3分+核心数据系统5分+无历史漏洞0分,总分13分→高优先级);下属某学校官网(公网访问5分+CMS老旧版本4分+展示网站1分+无历史漏洞0分,总分10分→中优先级)。 - 漏洞突破:使用获取到的账号密码登录
test.xxx.edu.cn的Tomcat后台,部署恶意war包,获取服务器权限;通过服务器内网穿透,访问data.xxx.edu.cn数据中心,利用MySQL弱口令漏洞登录数据库,获取学生信息、内部文件等敏感数据,最终实现全域突破。
3. 实战关键启示
- 测试站、开发站是突破核心,这类资产防护薄弱,往往存在弱口令、未授权访问等低级漏洞;
- 关联资产的漏洞复用性极高,尤其是政企单位的下属机构,运维标准更低,更容易突破;
- 代码仓库的信息泄露是“捷径”,重点关注运维、开发人员的个人仓库,往往能直接获取敏感信息。
五、 前瞻性思考:未来资产收集的趋势与应对策略
随着网络安全技术的发展,资产形态不断迭代,攻击与防御的对抗日益激烈,未来资产收集将呈现“新型资产聚焦、反侦察能力强化、智能化程度提升”三大趋势。
1. 新型资产收集:聚焦云原生、物联网、零信任架构
- 云原生资产:未来企业将更多业务迁移至云平台,云服务器(ECS)、容器(Docker/K8s)、云数据库(RDS)、Serverless函数等云原生资产成为收集重点。需通过云服务商漏洞、容器配置不当、IAM权限漏洞等方式收集资产,例如利用K8s API未授权访问,获取集群内所有容器资产;
- 物联网资产:智能家居、工业控制设备、智能摄像头等物联网设备数量激增,这类设备普遍存在弱口令、固件漏洞、协议未加密等问题。可通过Shodan、ZoomEye等物联网搜索引擎,搜索目标企业的物联网设备(如“org:某企业 摄像头”“location:某城市 工控设备”),挖掘隐藏资产;
- 零信任架构下的资产:零信任架构的普及,使得传统内网资产边界模糊,需通过身份认证漏洞、权限配置不当、API网关漏洞等方式,收集“身份-资产”关联信息,例如通过获取用户Token,访问零信任架构下的内部资产。
2. 反侦察与隐匿收集:避免被目标检测
随着目标安全防护能力的提升,资产收集过程中被检测到的风险越来越高,需强化反侦察能力:
- 隐匿扫描:使用代理池(动态切换IP)、TOR网络、分布式扫描工具,避免单一IP被目标防火墙、WAF拉黑;
- 低频扫描:降低扫描频率,模拟正常用户访问行为,避免触发目标的流量异常检测;
- 被动收集优先:优先使用被动收集工具(如Amass被动模式、DNSdumpster、crt.sh),减少主动扫描带来的暴露风险。
3. 智能化资产收集:借助AI提升效率
未来资产收集将越来越智能化,AI工具将成为核心助力:
- 智能关键词生成:AI根据目标行业、业务类型,自动生成精准的搜索关键词,覆盖更多隐藏资产;
- 漏洞智能关联:AI根据资产的服务版本、技术架构,自动关联已知漏洞,生成测试建议;
- 资产图谱自动构建:AI将收集到的域名、IP、子站、关联企业等信息,自动构建可视化资产图谱,清晰展示资产关联关系,辅助优先级判断。
六、 新手避坑指南:资产收集的10个高频错误
- 仅扫描常见端口,忽略冷门端口的高危漏洞;
- 未挖掘历史DNS解析记录,遗漏废弃IP中的敏感资产;
- 忽视代码仓库的个人仓库,错过员工泄露的敏感信息;
- 未利用备案信息、Whois信息反向关联,遗漏关联域名;
- 资产收集后未排序,盲目测试导致效率低下;
- 不区分公网/内网IP,浪费精力在不可访问的资产上;
- 仅依赖单一工具,未使用多工具聚合收集,导致资产覆盖不全;
- 忽视测试站、开发站,这类资产往往是突破核心;
- 收集过程中未做反侦察,被目标检测并拉黑;
- 未关注新型资产(如云原生、物联网),导致攻击面狭窄。
总结
资产收集的本质,是“从信息碎片中构建全域攻击网”的体系化思维——点对点收集保证“精准度”,模糊收集拓展“覆盖面”,科学排序提升“效率”,新型资产聚焦“前瞻性”。真正的资产收集天花板,不是收集到的资产数量,而是“从1个关键词到全域穿透”的关联能力与实战落地能力。
未来,随着资产形态的迭代与防御技术的升级,资产收集将更加强调“智能化、隐匿化、精准化”。渗透测试人员需紧跟趋势,不断拓展资产收集的边界,将新型资产、反侦察技巧、智能化工具融入现有体系,才能在攻防对抗中始终占据主动。
)
