2026-02-10 15:03:46 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统阐述了网络侦查中企业资产信息收集的全流程方法论，涵盖目标单位清单收集（搜索引擎、网络安全引擎、企业注册信息、工信部备案、IP段查询）、IP资产梳理（正则匹配、C段转换）、域名资产梳理（DNS服务器、whois查询、子域名挖掘、旁站挖掘、域名转IP、CDN绕过技术）、资产梳理（web发现、指纹识别、路径爆破、服务扫描）及其他信息收集方式（图片搜索、icon指纹、证书透明度）。文章提供了详细的工具推荐与实战技巧，强调需合法合规开展侦查活动。 综合评分： 78 文章分类： 渗透测试,红队,内网渗透,安全工具,实战经验

cover_image

网络侦查之目标（企业）资产信息收集全攻略

原创

子午猫子午猫

网络侦查研究院

2026年2月9日 07:31 湖南

在网络侦查中目标资产信息的全面收集是至关重要的前期工作，它如同绘制作战地图，为后续的渗透行动提供关键指引。下面将详细阐述网络侦查中目标资产信息收集的多种方法与技巧。

0x00 目标单位清单信息收集

0x00.01 通用搜索引擎查询

通过在通用搜索引擎中输入企业关键字来获取相关信息。若搜索引擎支持语法查询，可借鉴google hacking语法，这能快速过滤出更有针对性的结果。不过，这种方式得到的结果通常不够全面，因此需要与其他收集方式相结合，进行信息的扩展与补充。例如，在搜索特定企业时，单纯的关键字搜索可能只能获取企业的官方网站及一些常见报道，但结合语法查询或许能找到企业相关的特定文件、特定目录等信息，但整体仍可能存在遗漏。

0x00.02 网络安全搜索引擎

使用网络安全搜索引擎并借助其语法查询，可精准过滤出与目标单位相关的资产。不同的网络安全搜索引擎各有侧重：

fofa 可爱（https://fofa.so/）和censys（https://censys.io/）在实际使用中较为好用，并且已编写了API查询脚本存于toolkits仓库中。但这类搜索引擎的结果往往存在大量误报情况，需要使用者仔细甄别。
quark 夸克（https://quake.360.cn/quake/welcome）、zoomeye（https://www.zoomeye.org/）对国内资产覆盖较为全面。
shodan 绍登（https://www.shodan.io/）则是针对全网资产搜索的强大工具。

0x00.03 企业注册信息查询

企查查（https://www.qcc.com/）、爱企查（https://aiqicha.baidu.com/）、天眼查（https://www.tianyancha.com/）等平台可用于搜索企业注册信息。在查询过程中，要重点关注股权结构下企业名下控股的其他子公司，因为这些子公司的资产同样可能成为网络侦查的目标范围。此外，还有crunchbase（https://builtwith.com）以及copyright查询等方式，也能从不同角度获取企业相关信息。

0x00.04 工信部备案信息查询

通过https://beian.miit.gov.cn/#/Integrated/index可查询企业名下所有注册域名信息。但需注意，该查询要求必须提供企业的标准名称全称，不支持模糊搜索。因此，可先用icp站长之家查询确定企业的基本名称，再进行工信部备案信息查询，以获取企业域名资产的详细情况。

0x00.05 企业分配IP段查询

利用http://bgp.he.net可查询企业分配IP段，同时可借助提取工具metabigor来更高效地处理和分析相关数据，为后续对企业IP资产的梳理提供基础。

0x01 IP资产梳理

0x01.01 IP正则

IP正则表达式用于在字符串中匹配IP地址。不同编程语言有不同的写法：

C语言：定义IP及端口的正则表达式，如#define IP_REGX "((25[0 - 5]|2[0 - 4][0 - 9]|1[0 - 9]{2}|[1 - 9]?[0 - 9])\\.){3}(25[0 - 5]|2[0 - 4][0 - 9]|1[0 - 9]{2}|[1 - 9]?[0 - 9])"和#define PORT_REGX "(:[1 - 5][0 - 9]{4}/)|(:6[0 - 4][0 - 9]{3}/)|(:65[0 - 4][0 - 9]{2}/)|(:655[0 - 2][0 - 9]{1}/)|(:6553[0 - 5]/)|(:[1 - 9][0 - 9]{0,3}/)"。
Python：re.findall(r"\b(?:(?:25[0 - 5]|2[0 - 4][0 - 9]|[01]?[0 - 9][0 - 9]?)\.){3}(?:25[0 - 5]|2[0 - 4][0 - 9]|[01]?[0 - 9][0 - 9]?)\b", string_ip)，用于匹配IP地址。

0x01.02 IP转C段

将各种类型的IP段统一处理成单IP清单形式，方便后续对IP资产进行管理和分析。执行python3 info - ipsection.py，输入文件为ip.txt，输出文件为ip_result.txt，该工具归档在https://github.com/aplyc1a/toolkits中。

0x02 域名资产梳理

0x02.01 常用域名服务器

国内：114.114.114.114、114.114.115.115、114.114.114.119、114.114.114.110为运营商通用DNS；223.5.5.5、223.6.6.6是阿里公共DNS；180.76.76.76为百度公共DNS；119.29.29.29是腾讯DNSpod。
国外：8.8.8.8、8.8.4.4为google公共DNS；208.67.222.222、208.67.220.220、208.67.222.123、208.67.220.123是OpenDNS及其Family版本；199.91.73.222、178.79.131.110为V2EX DNS；216.146.35.35、216.146.36.36是Dyn DNS；8.26.56.26、8.20.247.20是Comodo Secure；156.154.70.1、156.154.71.1为UltraDNS；199.85.126.10、199.85.127.10是Norton ConnectSafe。

0x02.01.01 whois查询

通过whois查询可获取域名的注册信息，包括注册人、注册时间、过期时间等，这些信息对于了解域名的归属和使用情况具有重要意义。

0x02.02 子域名挖掘

在子域名挖掘过程中，可能会遇到泛解析问题。可通过以下几种方式进行挖掘：

利用子域名历史解析记录：如https://www.dnsgrep.cn/、https://securitytrails.com/list/apex_domain/具体域名、https://sitereport.netcraft.com/、https://hackertarget.com、https://rapiddns.io等网站，可查询子域名的历史解析记录，从中发现潜在的子域名。
利用枚举工具：
子域名挖掘机5.0：支持多级枚举，能较为全面地挖掘子域名。
subDomainsBrute：基于python2编写的字典枚举工具，但利用DNS枚举工具可能会产生DNS泛解析问题。
DNS域传送配置漏洞：当DNS服务器配置不当，匿名用户可利用DNS域传送协议获取某个域的所有记录。可通过能实现DNS域传送协议的程序，尝试匿名进行DNS域传送获取记录。对于存在域传送漏洞的DNS服务器，可使用命令dig @某漏洞的DNSServer -t axfr待查的域名。不过，这种情况非常少见。

0x02.03 旁站挖掘

可借助https://c.webscan.cc/、https://chapangzhan.com/、http://s.tool.chinaz.com/same等工具进行旁站挖掘，找出与目标域名在同一服务器上的其他网站，这些旁站可能存在与目标相关的漏洞或信息。

0x02.04 域名转IP

手工查询：
手工ping：通过在命令行输入ping域名，获取域名对应的IP地址，但此方法可能受网络环境等因素影响。
手工nslookup：使用nslookup domain DNSServer或nslookup域名DNS服务器命令，可指定DNS服务器查询域名对应的IP地址。
手工dig：dig domain @DNSServer或dig域名@DNS服务器，同样能实现域名转IP查询。
工具查询：编写了一个通过dig批量查询所有DNS record并进行导出的python脚本。输入文件为domain.txt，执行python3 info - dnsdigger.py，输出文件为nslookup.csv，该脚本归档在https://github.com/aplyc1a/toolkits中。

0x02.05 IP真实性判定

0x02.05.01 检测

判断一个域名是否绑定在某个固定的IP上，若在域名转IP过程中出现以下现象，说明得到的IP可能不准确，可能存在CDN或其他waf类设备：

多次ping域名，IP地址不唯一。
选择不同的DNS服务器进行查询，或查询结果中发现A记录的IP不唯一。
DNS查询时发现CNAME指向了某waf类或cdn域名。
使用在线工具（如https://myssl.com/cdn_check.html、https://www.yunsee.cn/、http://ping.chinaz.com、http://ping.aizhan.com、http://ce.cloud.360.cn）发现多地返回的地址不唯一。

0x02.05.02 确定

一旦识别到CDN，可尝试以下方法绕过CDN发现真实IP：

统计其他子域名，总结出可能的C段，对C段进行端口服务发现。
利用公开的DNS历史解析记录数据库，如securitytrails会记录历史所有的解析记录，还有https://dnsdb.io/zh – cn/、https://x.threatbook.cn/、http://toolbar.netcraft.com/site_report?url=、http://viewdns.info/、https://tools.ipip.net/cdn.php等，从中发现该域名绑定过的IP。
使用网络安全搜索引擎：
fofa查询：通过过滤页面关键字，如body="抓手"、title="beijing"、icp="京ICP证030173号"。
censys查询：过滤cdn与目标间的ssl证书，如parsed.names: xyz123boot.com and tags.raw: trusted或直接搜证书的散列值，在结果中查看IPv4主机地址。
若目标含有RSS邮件订阅功能，通过分析邮件标头内的发送人信息，有时能获得目标的真实IP。
当F5 LTM做CDN时，set - cookie关键字的value字段可能含有目标的真实IP。可先将value值的第一段转为16进制，分为4部分，再由后往前，依次推出IP地址。

0x03 资产梳理

0x03.01 web资产发现

可使用webfinder.jar、goby 哥斯拉等工具，也可通过网络安全搜索引擎搜索IP来发现web资产，全面了解目标的web应用情况。

0x03.02 web组件指纹识别

whatweb是一款常用的web组件指纹识别工具，通过识别网站所使用的技术框架、服务器类型等信息，帮助侦查人员更好地了解目标web应用的技术架构，为后续的漏洞分析提供方向。

0x03.03 web路径爆破

Windows：可使用御剑进行web路径爆破，尝试发现网站隐藏的目录和文件。
Linux：DirBuster、Dirmap是常用的路径爆破工具，通过字典攻击的方式，探测网站可能存在的敏感路径。

0x03.04 其他服务

nessus 内萨：一款强大的网络漏洞扫描工具，能全面检测目标系统存在的漏洞，并生成详细的报告。
goby 哥勃依：可对目标网络进行全方位的扫描，发现各种网络服务及潜在的安全问题。
nmap 网络映射器：用于网络探测和端口扫描，帮助渗透测试人员了解目标网络的拓扑结构和开放端口情况。

0x04 其他信息收集方式

0x04.01 图片搜索

利用百度识图、google识图等工具，在网上找到相似图片或原图，通过图片的来源、相关描述等信息，发现其他与目标相关的线索，这可能为渗透测试提供意想不到的收获。

0x04.02 icon指纹识别

fofa：通过icon搜索，可根据网站图标特征查找相似网站或获取与目标相关的信息。
shodan：使用http.favicon.hash搜索，能从特定角度发现目标相关资产。
zoomeye：利用iconhash搜索，辅助收集目标相关信息。

0x04.03 证书透明度

通过https://censys.io/、https://crt.sh/、https://developers.facebook.com/tools/ct/、https://google.com/transparencyreport/https/ct/等平台，可查询证书透明度相关信息，从中获取与目标域名相关的证书细节，进一步了解目标网络的安全配置和相关信息。

在网络侦查中，综合运用上述目标资产信息收集方法，能够全面、深入地了解目标的资产情况，为后续的网络侦查工作奠定坚实基础。但同时需注意，在信息收集过程中应严格遵守法律法规，确保网络侦查活动的合法性。

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络侦查研究院子午猫子午猫《网络侦查之目标（企业）资产信息收集全攻略》