1. 项目概述为什么说侦察是Web安全的“胜负手”干了这么多年安全我越来越觉得Web安全这事儿七分靠侦察三分靠渗透。很多新手一上来就想着上工具、跑漏洞结果要么是打空气要么是触发警报被拉黑效率极低。其实一个站点的“信息”就像它的“身份证”和“家庭住址”你了解得越透彻后续的行动就越精准、越隐蔽。这个“站点信息收集”的过程就是我们常说的“踩点”或“侦察”它绝不是可有可无的步骤而是决定一次安全测试或评估能否成功、能否深入的关键第一步。简单来说站点信息收集的目标就是尽可能全面地描绘出目标Web应用及其背后基础设施的“数字画像”。这包括但不限于这个网站到底是谁的归属信息它跑在什么样的服务器和软件上技术栈有哪些子域名和关联资产资产边界网站的结构和目录是怎样的内容发现以及它和哪些第三方服务有交互外部关联把这些信息都摸清楚了你才能知道从哪里下手最有效攻击面有多大以及如何规避防御措施。这个过程适合所有对Web安全感兴趣的人无论是刚入门的安全爱好者、负责企业安全建设的工程师还是进行授权渗透测试的专业人员。对于新手这是建立系统性安全思维的第一步对于老手这是不断优化自己“工具箱”和“工作流”的日常。接下来我就结合自己多年的实战经验把这套侦察流程掰开揉碎了讲清楚从思路到工具从操作到避坑让你不仅能看懂更能直接用起来。2. 侦察核心思路与工作流设计2.1 从“被动”到“主动”分层递进的侦察哲学信息收集不是胡乱地一通扫描它需要清晰的策略。我通常将其分为“被动信息收集”和“主动信息收集”两个阶段遵循一个由外到内、由静到动的原则。被动信息收集顾名思义就是在不直接与目标服务器交互的情况下获取信息。你可以把它理解为“公开情报收集”。我们所有的操作对象都是第三方平台比如搜索引擎、域名注册商、证书透明度日志、历史快照存档等。这个阶段的最大优点是隐蔽性极高几乎不会在目标日志中留下痕迹。我们的目标是先画出一个尽可能大的“潜在资产地图”并收集到一些基础但关键的元数据。主动信息收集则是需要向目标服务器发送探测请求根据其响应来获取信息。比如直接访问网站、扫描端口、枚举目录等。这个阶段效率高、信息直接但必然会被日志记录可能触发安全设备的告警。因此主动侦察应该在被动侦察勾勒出轮廓后进行做到有的放矢并且要控制扫描的速率和并发模拟正常用户行为。一个高效的工作流应该是先被动后主动先广度后深度。先用被动手段把目标相关的域名、子域名、IP段、关联公司等信息尽可能找全形成一个侦察清单。然后针对清单上的每一个目标再进行低强度的主动探测验证目标存活、识别基础服务。最后对确认的核心目标如主站、关键业务子域进行更深度的主动信息收集。2.2 工具选型自动化与手动的平衡术市面上信息收集的工具多如牛毛从全能型的 Recon-ng、Maltego到专注子域名枚举的 subfinder、amass再到端口扫描的王者 nmap。我的建议是不要追求一个工具搞定所有事而是搭建一个适合自己的工具链。对于新手我推荐从一些高度集成化的项目开始比如reconftw。它本质上是一个 Bash 脚本内部集成了数十款优秀的开源侦察工具如 amass, subfinder, httpx, nuclei 等并提供了一个清晰的流水线。你只需要提供一个域名它就能自动执行从子域名枚举、存活检测、端口扫描到初步漏洞筛查的全流程并生成结构化的报告。这能让你快速建立起对侦察全貌的认知。但是完全依赖自动化是有风险的。自动化工具可能会遗漏一些非标准的资产其发出的请求特征也容易被识别。因此手动验证和深度挖掘是不可替代的。例如自动化工具可能发现了一个子域名dev.example.com返回状态码403。手动访问时尝试在URL后加上/index.php、/admin/或者修改请求头如X-Forwarded-For可能会有意想不到的发现。我的常用工具链包括被动枚举amass(配置多个API源)、subfinder、assetfinder以及利用证书透明度的crt.sh网站手动查询。存活验证与HTTP探测httpx/httprobe用于快速从一大堆域名中筛选出存活且有HTTP服务的。端口扫描与服务识别nmap用于对IP地址进行端口扫描和版本探测。对于Web服务naabu也是一个快速的TCP端口扫描选择。目录与内容发现gobuster、dirsearch、ffuf。ffuf尤其强大支持高度定制化的模糊测试。截图与视觉侦察gowitness或aquatone自动对存活网站进行截图便于快速浏览和识别管理后台、默认页面等。关联信息挖掘手动查看Whois信息、搜索Github代码仓库、利用Shodan/Censys搜索暴露的服务器信息。注意在使用任何自动化工具尤其是扫描器时请务必确保你拥有目标的测试授权。未经授权的扫描是违法行为。在授权范围内也应遵守测试方规定的扫描时段、速率和范围限制。3. 核心信息维度与实操手法拆解3.1 域名与子域名资产发现域名是资产的入口而子域名往往是突破边界的关键。很多重要业务如api.、admin.、dev.、test.、vpn.或遗留系统如old.、legacy.都部署在子域名上。被动枚举实战证书透明度CT日志这是目前最有效的子域名发现来源之一。因为主流CA签发SSL/TLS证书都需要录入CT日志。我们可以直接访问https://crt.sh输入%.example.com进行查询。也可以使用工具如ctfr或配置amass使用crtsh数据源。# 使用curl和jq快速从crt.sh获取JSON格式的子域名列表 curl -s https://crt.sh/?q%.example.comoutputjson | jq -r .[].name_value | sed s/\*\.//g | sort -u搜索引擎语法利用Google、Bing的site:语法。例如site:example.com可以找到被收录的页面有时也能暴露出子域名线索。结合-www可以排除主站。DNS聚合查询像SecurityTrails、VirusTotal、DNSDumpster这样的平台聚合了海量的DNS解析记录。amass工具的强大之处就在于它集成了数十个类似的被动数据源API需要配置API密钥。跨域关联如果目标公司拥有多个域名例如品牌名、产品名不同可以通过查找共同的IP段、SSL证书颁发者、Google Analytics ID、网站管理员邮箱等方式发现关联资产。主动枚举实战 被动枚举后我们可以进行低强度的主动DNS枚举作为补充。字典爆破使用一个强大的子域名字典配合工具如gobuster或ffuf进行枚举。# 使用ffuf进行子域名爆破 ffuf -w /path/to/subdomains.txt -u https://FUZZ.example.com -mc 200,301,302,403 -t 50-mc参数指定匹配的状态码403禁止访问往往也意味着目标存在值得后续手动探查。DNS区域传送检测这是一个经典的配置错误。如果目标DNS服务器允许区域传送攻击者可以直接获取所有DNS记录。使用dig命令检测dig axfr ns1.example.com example.com如果返回大量记录则存在严重漏洞。实操心得字典质量决定上限不要只用默认的小字典。收集和整理一个高质量的、针对性的字典至关重要。可以融合公开字典如SecLists中的Discovery/DNS、历史侦察结果以及针对目标行业特性的词汇如erp,crm,sso等。泛解析Wildcard DNS干扰如果目标配置了*.example.com泛解析那么任何不存在的子域名都会被解析到同一个IP。这会干扰爆破结果让你误以为发现了大量有效子域名。解决方法是先探测一个随机的不可能存在的子域名如random123456.example.com如果它返回了有效响应如相同的页面内容、相同的标题则说明存在泛解析。此时爆破工具需要能对比响应内容过滤掉这些“假阳性”结果。ffuf的-fr过滤正则表达式或-fs过滤响应大小参数可以用于此目的。3.2 服务器、中间件与WAF指纹识别知道了目标地址下一步就是搞清楚它“住”在什么样的“房子”里。这包括操作系统、Web服务器软件如 Nginx, Apache, IIS、应用框架如 WordPress, Django, Spring Boot、编程语言如 PHP, Java, Python以及是否有WAFWeb应用防火墙保护。识别手法HTTP响应头这是最直接的信息源。访问网站查看Server、X-Powered-By、Set-Cookie如PHPSESSID暗示PHP等头部字段。但请注意这些信息可以被管理员修改或隐藏。curl -I https://example.com文件路径与错误信息访问一些不存在的路径或触发错误观察返回的错误页面。例如典型的Tomcat错误页面、Django的调试页面如果开启都会暴露详细的技术栈信息。静态资源指纹一些框架的默认CSS、JS文件或者图标如/favicon.ico具有特征哈希值。工具如WhatWeb、Wappalyzer浏览器插件内置了大量此类指纹可以快速识别。特定端口与协议非80/443端口可能运行着特定服务的管理界面如8080的Tomcat,3000的Node.js应用,5985的WinRM。nmap的服务版本探测-sV非常有用。WAF识别主动发送一些恶意载荷如 OR 11--观察响应。如果被WAF拦截通常会返回特定的状态码如403、406、响应头如X-WAF-Name: Cloudflare或拦截页面。工具如wafw00f可以自动化这个过程。实操要点不要相信单一来源响应头可能被篡改错误页面可能被自定义。需要综合多个线索进行判断。关注版本号识别出软件和版本号后要立刻去搜索该版本是否存在公开的漏洞CVE。例如识别出Nginx 1.18.0就要去查这个版本是否有路径穿越、缓冲区溢出等已知漏洞。WAF的存在意味着什么识别出WAF如 Cloudflare, AWS WAF, Imperva不一定是坏事。它告诉你目标有防护需要更谨慎、更隐蔽的攻击手法。同时不同的WAF有不同的绕过技巧这本身就是一个重要的侦察方向。3.3 目录、文件与敏感内容发现网站就像一座宫殿我们不仅要知道大门首页还要找到所有可能的房间目录和藏在抽屉里的文件敏感文件。目录爆破是发现后台登录入口、配置文件、备份文件、数据文件的关键。工具与字典工具gobuster、dirsearch、ffuf。ffuf因其速度和灵活性成为我的首选。字典再次强调字典的重要性。SecLists中的Discovery/Web-Content目录提供了多种类型的字典如通用文件common.txt、大型目录directory-list-2.3-medium.txt、特定中间件Apache-Hadoop.txt,Nginx-Logs.txt等。实操命令与技巧# 使用ffuf进行目录/文件爆破并过滤掉常见错误页面大小 ffuf -w /path/to/directory-list.txt -u https://example.com/FUZZ -mc 200,301,302,403 -fs 1234,5678 -t 100-fs 1234,5678过滤掉大小为1234和5678字节的响应。在爆破前先访问一个肯定不存在的路径如https://example.com/random-12345记下其返回的页面大小通常是404页面的大小然后用-fs过滤掉这个大小可以显著减少无效结果的干扰。递归扫描发现一个目录如/admin/后可以针对这个目录进行递归扫描以发现更深层的内容。ffuf -w /path/to/directory-list.txt -u https://example.com/admin/FUZZ -recursion -recursion-depth 2扩展名爆破除了目录还要寻找特定扩展名的文件如.bak,.sql,.tar.gz,.zip,.txt,.pdf甚至是.git/目录。ffuf -w /path/to/extensions.txt -u https://example.com/FUZZ -mc 200,301,302 -t 50 # extensions.txt 内容示例 index.php index.php.bak config.php config.php.bak .git/HEAD robots.txt敏感内容发现robots.txt这个文件本意是告诉搜索引擎哪些目录不要抓取但安全人员可以从中发现管理员不想被公开的路径如/admin/、/backup/、/phpmyadmin/。sitemap.xml网站地图列出了所有希望被收录的页面是了解网站结构的绝佳资料。源代码泄露在页面源代码CtrlU中注释里可能包含内部IP、邮箱、测试账号密码、API密钥等硬编码信息。JS文件分析现代Web应用大量使用JavaScript。使用浏览器开发者工具Network面板查看加载的JS文件有时能发现未引用的API端点、内部域名、甚至是硬编码的密钥。工具如LinkFinder可以自动化地从JS文件中提取URL。3.4 关联信息与攻击面扩展真正的目标往往不是孤立的。我们需要跳出单个域名/IP的局限从更广的视角寻找攻击面。IP地址与C段扫描获取目标域名的真实IP注意CDN的干扰可通过历史DNS记录、子域名解析、邮件服务器MX记录等方式寻找真实IP。然后对该IP所在的C段即前24位网络地址相同的IP范围如192.168.1.0/24进行扫描。同一C段内可能存在着目标公司的其他服务器测试环境、办公系统、老旧设备这些系统的安全性往往弱于主站。nmap -sn 203.0.113.0/24 # 先进行Ping扫描发现存活主机 nmap -sV -p- 203.0.113.50 # 对发现的存活主机进行全端口扫描和服务识别端口与服务发现不仅仅是80和443。要关注21(FTP),22(SSH),23(Telnet),3306(MySQL),3389(RDP),6379(Redis),8080/8081(各类Web服务管理端) 等常见服务端口。一个暴露的Redis或Memcached服务可能直接导致数据泄露或远程代码执行。第三方组件与依赖目标网站可能引用了第三方JS库如 jQuery、Bootstrap、字体服务、统计代码如 Google Analytics、百度统计、客服系统等。这些第三方服务的漏洞或配置不当也可能成为攻击入口即供应链攻击。浏览器的开发者工具和Wappalyzer插件可以帮助识别。员工与组织信息通过领英、企业官网、技术社区如 GitHub搜索目标公司的员工信息。员工在社交媒体、代码仓库中不经意泄露的内部系统地址、技术栈、甚至是账号密码都是极其宝贵的情报。这属于社会工程学和开源情报的范畴但也是现代攻击中不可或缺的一环。4. 信息整理、分析与报告输出收集到海量信息后如果杂乱无章地堆在那里就失去了价值。有效的整理和分析才能让侦察结果指导后续行动。4.1 信息聚合与可视化我习惯将不同工具收集到的信息统一汇总到一个结构化的笔记或数据库中。一个简单有效的方法是使用Obsidian、Notion或CherryTree这样的笔记软件为每个目标建立一个页面。页面内可以分区域记录基础信息主域名、IP、Whois信息、备案信息。子域名资产以表格形式列出所有发现的子域名、解析IP、HTTP状态码、标题、技术栈、截图。端口与服务nmap扫描结果表格。目录与文件重要的发现如后台地址、配置文件、备份文件链接。关联资产C段存活主机、关联域名。潜在漏洞点根据指纹识别出的老旧版本组件、发现的敏感文件路径等。对于资产较多的目标可视化工具能极大提升效率。amass可以生成网络图BloodHound用于内网域关系可视化而对于外部资产可以手动将子域名、IP的关系在Draw.io或XMind中画出来理清资产架构。4.2 风险研判与攻击路径规划整理不是目的分析才是。你需要像一个侦探一样从这些信息中找出“薄弱环节”和“攻击路径”。优先级排序暴露面大且防护弱的系统例如一个直接暴露在公网、使用默认密码或已知漏洞版本的管理后台如Jenkins,Docker Registry,Kibana。敏感信息泄露直接可以访问的备份文件.sql.bak、配置文件包含数据库密码、Git仓库.git/目录泄露。过时且有公开EXP的组件识别出的Apache Struts 2.3.5、ThinkPHP 5.0.x等。测试/开发环境dev.、staging.、test.开头的子域名其安全标准通常低于生产环境。关联资产中的脆弱点主站防护严密但同一个C段里的一台老旧FTP服务器可能就是一个完美的跳板。攻击链构思将多个发现点串联起来形成一条可能的攻击链。场景一通过子域名爆破发现vpn.example.com- 识别出是FortiGate SSL VPN- 搜索发现该版本存在CVE-2018-13379漏洞可导致任意文件读取- 利用漏洞读取VPN用户配置文件 - 获取到部分员工的VPN凭据可能是哈希- 尝试破解或重放攻击进入内网。场景二目录扫描发现/phpinfo.php- 访问该页面泄露了大量服务器配置信息包括绝对路径、环境变量可能含密钥- 结合发现的phpMyAdmin路径 (/phpmyadmin/) - 尝试使用泄露的路径信息进行本地文件包含LFI攻击或利用phpMyAdmin的已知漏洞。4.3 侦察报告撰写要点如果是授权测试一份清晰的侦察报告是必须的。报告不应是工具输出日志的堆砌而应是经过分析、提炼的成果。报告结构建议执行摘要一两句话概括本次侦察的核心发现和最高风险点。目标范围明确列出本次侦察的授权目标域名/IP段。方法论简述简要说明使用的被动和主动侦察方法及工具体现专业性。详细发现这是核心部分。建议按资产类型分类陈述如域名资产、服务器信息、敏感内容、关联资产并配以截图、表格和风险等级评定如高、中、低。高可直接利用的漏洞或敏感信息泄露。中存在安全隐患的配置或过时组件。低信息性发现如技术栈指纹。攻击面分析基于详细发现总结出主要的攻击入口和可能的攻击路径图。后续测试建议根据侦察结果为后续的漏洞扫描、渗透测试提出具体的、有针对性的方向建议例如“建议重点对api-v1.example.com进行API接口测试”“devops.example.com上运行的Jenkins 2.60版本存在多个漏洞建议优先验证”。附录可以放置一些原始数据如完整的子域名列表、nmap扫描结果等但核心报告正文应保持精简和聚焦。5. 高级技巧、常见问题与避坑指南5.1 对抗CDN与云WAF寻找真实IP现代网站普遍使用CDN如 Cloudflare, Akamai, AWS CloudFront和云WAF这给定位真实源站服务器带来了挑战。常用手法历史DNS记录查询使用SecurityTrails、ViewDNS.info等工具查看域名的历史A记录可能在启用CDN前域名是直接解析到真实IP的。子域名探测主站用了CDN但很多子域名特别是内部管理、测试、未上线系统可能没有配置CDN仍然直接解析到真实IP。从这些子域名的IP反推主站IP段。邮件服务器追踪目标公司自建的邮件服务器MX记录往往和Web服务器在同一网络内。给目标邮箱如infoexample.com发一封邮件然后查看邮件原文的头部信息其中的Received字段可能会透露出内部IP或主机名。SSL证书关联如果目标没有为所有子域名使用泛域名证书那么通过Censys或Shodan搜索其SSL证书的哈希值或颁发者信息可能会找到使用相同证书的其他IP其中可能包含真实IP。FaaS/边缘函数泄露如果网站使用了云函数如 AWS Lambda, Cloudflare Workers在特定错误或配置下响应头或错误信息中可能泄露后端服务的真实IP或内部域名。重要提示这些方法旨在用于授权的安全测试中定位资产。在测试时如果发现真实IP应评估其安全状况但通常不建议直接对“脱掉CDN”的IP进行高强度攻击因为这可能违反与CDN服务商或目标公司的协议。我们的主要目的是更完整地绘制资产地图。5.2 大规模侦察时的效率与隐蔽性平衡当面对一个拥有大量资产如一个集团拥有数百个子域名的目标时自动化是必须的但必须考虑效率和隐蔽性。速率限制所有主动扫描工具都必须设置合理的延迟-delay和并发数-t。过于激进的扫描会被WAF或IPS瞬间封禁IP。对于目录爆破我通常将并发数控制在20-50之间并添加随机延迟。分布式扫描如果需要扫描的IP段或域名列表非常庞大可以考虑使用代理池或分散到多个VPS上进行避免单个IP发出过多请求。使用API尽可能使用amass、subfinder等工具的被动模式或者配置其使用各种情报平台的API。这比主动查询公开页面更高效、更稳定。结果去重与合并不同工具、不同来源的结果会有大量重复。使用sort -u、awk !seen[$0]等命令或者编写简单的Python脚本进行去重和合并是处理数据的关键一步。5.3 常见踩坑点实录忽略HTTP与HTTPS的差异有些服务可能只在http://或https://上开放。在存活探测和后续扫描时两者都要尝试。httpx工具支持自动探测协议。被“假开放”端口迷惑nmap扫描显示某个高端口如8000开放但实际访问无响应或连接被重置。这可能只是防火墙规则允许TCP握手但应用层有拦截。需要用浏览器或curl手动验证服务是否真正可用。字典不匹配导致的遗漏目标是一个Java Spring Boot应用你却只用通用的PHP字典去爆破目录自然会遗漏/actuator/、/swagger-ui/等典型Spring Boot端点。侦察需要根据前期指纹识别的结果动态调整后续的字典和策略。过度依赖工具缺乏思考工具跑完了报告生成了但你是否仔细看了每个404页面的内容是否尝试了修改HTTP方法从GET到POST是否在发现example.com/admin返回403后尝试了example.com/Admin、example.com/ADMIN大小写变换或example.com/admin/../admin/路径混淆工具只能完成标准化的工作真正的突破往往来自于手动的、基于经验的试探和思考。法律与授权风险这是最大的“坑”。务必、务必、务必在获得明确的书面授权后再对目标进行主动扫描。即使是被动信息收集也要注意数据来源的合规性不要从非法渠道获取数据。清晰界定测试范围并严格遵守。侦察是一个永无止境的过程也是一个充满乐趣的“拼图游戏”。每一次信息的发现和关联都可能打开一扇新的大门。保持好奇心保持耐心不断更新你的工具库和知识库你会发现在Web安全的道路上你已经拥有了最锐利的眼睛。