信息收集是攻防演练的第一步
在一次单位组织的网络安全攻防演练中,红队刚接到任务,目标系统看起来很普通——一个对外提供服务的企业官网。表面上看,只有一个域名和几个公开页面,但真正的突破口往往藏在细节里。经验丰富的队员没有急着扫描漏洞,而是先花了一整天时间做信息收集。最终,他们通过一个被遗忘的测试子域,拿到了后台入口。
从域名入手,挖出隐藏资产
拿到一个目标,第一件事就是查它的域名信息。使用 whois 工具可以查到注册人、邮箱、DNS 服务器等数据。有时候这些信息看似无用,但结合社工库比对,可能发现管理员曾用的其他账号。
比如某个企业的域名注册邮箱是 admin@company.com,试着搜这个邮箱在 GitHub 上有没有提交记录,很可能找到泄露的内部项目代码或配置文件。
子域名枚举不能跳过
主站防护严密,不代表所有子域都一样。常见的 dev.company.com、test.company.com 或者 backup.company.com 往往疏于管理。可以用工具如 sublist3r 或 assetfinder 批量探测:
sublist3r -d company.com也可以手动结合搜索引擎语法,比如在百度或谷歌搜索:
"site:company.com",能快速列出被收录的所有页面地址。
利用搜索引擎发现敏感内容
很多系统会无意中把配置文件、日志甚至数据库备份暴露在公网。通过特定关键词组合,能在搜索引擎中直接定位风险点。
例如搜索:
"company.com" "index of /backup"
或者
"company.com" filetype:sql
这类查询一旦命中,可能直接下载到包含用户密码的 SQL 文件。
查看网站历史快照
有些页面现在已经下线,但在互联网档案馆(Wayback Machine)还能查到历史快照。访问 https://web.archive.org,输入目标网址,能看到过去几年该站点的所有结构变化。
曾经有团队通过快照发现,某系统旧版本存在 /admin/debug.php 接口,虽然现在已被删除,但路径结构提示了当前系统的开发习惯,帮助他们猜出了新的管理后台路径。
抓包分析前端请求
打开浏览器开发者工具,切换到 Network 面板,刷新页面,观察所有发出的请求。重点关注 XHR 和 Fetch 类型的接口调用,这些往往是前后端通信的关键路径。
比如看到一个请求发往 /api/v1/userinfo?token=xxx,说明系统用了 token 认证机制。再结合响应体里的字段名,能推测出后端 API 的设计逻辑。
识别技术栈有助于精准打击
通过响应头、页面源码或 JS 文件中的注释,判断目标使用的技术框架。比如看到 X-Powered-By: PHP/7.4,或者引用了 jQuery 1.8.3,这些都是线索。
老版本组件可能存在已知漏洞。像 Struts2、Fastjson 这类中间件的历史 CVE,在演练中经常成为突破口。
别忽视公开平台的信息
很多公司会在招聘网站发布职位描述,里面常提到“熟悉 Spring Cloud 架构”、“有 Kubernetes 运维经验”,这些话其实是在告诉攻击者:我们的系统用了微服务和容器化部署。
还有些企业在 GitHub 公开组织账号,虽然主仓库设为私有,但偶尔会漏传一个 config.yaml,里面写着数据库连接字符串。