信息搜集分为主动信息搜集和被动信息搜集，主动信息搜集是与目标主机进行直接交互，从而拿到我们的目标信息，而被动信息搜集恰恰与主动信息搜集相反，不与目标主机进行直接交互，通过搜索引擎或者社交等方式间接的获取目标主机的信息。当我们拿到一个目标进行攻击测试的时候，我们关注目标主机的whois信息，子域名，目标IP，旁站C段查询，邮箱搜集，CMS类型，敏感目录，端口信息，服务器与中间件信息。针对上边的信息，网上有很多工具，但是，我们可以自己写一个工具得到所有的信息，方便攻击测试。

1.whois信息

whois信息可以获取关键注册人的信息，包括注册公司、注册邮箱、管理员邮箱、管理员联系手机等,对后期社工很有用。同时该工具还可以查询同一注册人注册的其他的域名，域名对应的NS记录、MX记录，自动识别国内常见的托管商（万网、新网等）。常用的工具有：chinaz,kali下的whois命令。

2.子域名

在攻击测试的时候，往往主站的防御会很强，常常无从下手，那么子站就是一个重要的突破口，因此子域名是攻击测试的主要关注对象，子域名搜集的越完整，那么挖到的漏洞就可能更多，甚至漏洞的级别也会更高。常用的工具有：搜索引擎（google，baidu，bing）,DNS区域传送漏洞，子域名挖掘机Layer,subDomainsBrute,phpinfo.me,定制字典暴力破解。

3.目标IP

现在大部分网站都加了CDN,CDN的虚假IP干扰了我们的攻击测试，如何绕过CDN查找到目标的真实IP，对我们来说非常重要。首先，我们需要判断下是否存在CDN,方法很简单，只要在不同地区进行ping检测就可以知道。不同地区ping同一个网址，得到不同的IP地址，那么该网站开启了CDN加速，相反如果得到的是同一个IP地址，那么极大可能不存在cdn，但是不绝对。常用的工具有多个地点ping服务器-网站测速-站长工具。其次，绕过CDN获取真实IP的方法互联网上有很多，常用的有二级域名法，目标长得一般不会把所有的二级域名放在cdn上，确定了没有使用CDN的二级域名后，本地将目标域名绑定到同ip，能访问就说明目标站与二级域名在同一服务器叶可能在同C段，扫描C段所有开80端口的ip，挨个尝试。nslookup法，大部分CDN提供商只针对国内市场，而对国外市场几乎是不做CDN，所以有很大的几率直接解析到真实IP，不过需要国外的冷门的DNS。

4.旁站C段查询

旁站是和目标网站在同一台服务器上的其它的网站；如果从目标站本身找不到好的入手点，这时候，如果想快速拿下目标的话，一般都会先找个目标站点所在服务器上其他的比较好搞的站下手，然后再想办法跨到真正目标的站点目录中。C段是和目标机器ip处在同一个C段的其它机器；通过目标所在C段的其他任一台机器，想办法跨到我们的目标机器上。常用的工具有webscancc，Nmap，Zenmap。

5.邮箱收集

首先确定目标的邮件服务器所在的真实位置，看看邮件服务器自身有没有什么错误配置，比如，没有禁用VREY或者EXPN命令导致用户信息泄露。然后从whois中获取域名的注册人、管理员邮箱，利用搜索引擎或者社工库查看有木有泄露的密码，然后尝试泄露的密码进行登录，最后从目标站点上搜集邮箱，例如网站上的联系我们,我们发发邮件钓鱼什么的。常用的工具有kali下的theharester。

6.CMS类型

对目标攻击测试过程中，目标CMS是十分重要的信息，有了目标的CMS，就可以利用相关的bug进行测试，进行代码审计。CMS识别方式有网站特有文件，例如/templets/default/style/dedecms.css — dedecms；网站独有文件的md5，例如favicon.ico，但是该文件可以被修改导致不准确；网站命名规则；返回头的关键字；网页关键字；URL特征；Meta特征；Script特征；robots.txt；网站路径特征；网站静态资源；爬取网站目录信息；常用的工具有 云悉，工具1，BugScaner。

7.敏感目录/文件

用扫描器扫描目录，这时候你需要一本强大的字典，重在平时积累。字典越强扫描处的结果可能越多，这一步主要扫出网站的管理员入口，一些敏感文件（.mdb,.excel,.word,.zip,.rar）,查看是否存在源代码泄露。常见有.git文件泄露，.svn文件泄露，.DB_store文件泄露，WEB-INF/web.xml泄露。目录扫描有两种方式，使用目录字典进行暴力才接存在该目录或文件返回200或者403；使用爬虫爬行主页上的所有链接，对每个链接进行再次爬行，收集这个域名下的所有链接，然后总结出需要的信息。常用的工具有：御剑，kali下的dirb，DirBrute。

8.端口信息

服务和安全是相对应的，每开启一个端口，那么攻击面就大了一点，开启的端口越多，也就意味着服务器面临的威胁越大。开始扫描之前不妨使用telnet先简单探测下某些端口是否开放，避免使用扫描器而被封IP，扫描全端口一般使用Nmap，masscan进行扫描探测，尽可能多的搜集开启的端口好已经对应的服务版本，得到确切的服务版本后可以搜索有没有对应版本的漏洞。常见的端口信息及攻击方法。

9.服务器与中间件信息

通过Nmap、Zmap等端口和指纹识别功能搜集，也可以使用nc和telnet获取Banner信息进行识别，常用工具有whatweb。

10.其他

探测目标是否存在WAF，WAF识别一般是基于headers头信息，例如，Mod_Security是为Apache设计的开源Web防护模块，一个恶意的请求Mod_Security会在响应头返回“406 Not acceptable”的信息。waf00f是kali下的识别WAF的老工具，whatwaf不仅可以识别WAF类型还会给出一些bypass 方法；另外从乌云镜像站、CNVD搜集网站历史漏洞对攻击测试也是有很大帮助的。