2026-05-22 02:55:15 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文系统介绍网络安全攻防中信息搜集的全流程实战方法，涵盖域名备案查询、CDN绕过、端口扫描、Web指纹识别等核心环节。关键发现包括通过证书透明度批量获取子域名、10种真实IP获取技巧及常见高危端口清单。可操作建议涉及工具链使用（如OneForAll、nmap、FOFA）和标准化操作流程，强调需在合法授权范围内应用这些技术。 综合评分： 85 文章分类： 渗透测试,WEB安全,红队,内网渗透,安全工具

cover_image

攻防侦察｜信息搜集全流程实战

X X

马哥网络安全

2026年5月20日 17:00 河南

在小说阅读器读本章

去阅读

重要提醒：本文仅用于网络安全学习和合法的测试，严禁对未授权的目标进行操作，一定要遵守《网络安全法》，守住合法合规的底线。

01 前言

信息搜集，是所有攻防操作的第一步，也是最关键的一步，相当于攻防前的“踩点”，踩点越细，后续越顺利。

这篇推文不玩虚的、不聊玄学，全是能直接复制上手的技术思路、工具和命令，新手看了能快速入门，老手看了能查漏补缺，收藏起来，不管是挖漏洞还是护网，直接当手册用就够了！

02 搜集范围

抓好这6类核心信息，不遗漏关键资产：

域名体系：主域名（比如baidu.com）、子域名（比如news.baidu.com）、备案过的域名、和目标相关的关联域名
IP 信息：服务器真实IP、同一网段的IP（C段）、历史用过的IP
网站指纹：网站用的CMS系统（比如WordPress）、中间件（比如Nginx）、开发语言和框架
端口服务：服务器开放的端口、端口对应的服务、容易出现弱口令的风险端口
敏感信息：网站后台入口、备份文件、配置文件、日志、API接口
扩展资产：目标相关的小程序、APP、外包合作厂商、子公司

只要把这些信息搜全，后续操作会顺利很多。

03 域名与备案查询

1. Whois域名信息查询

命令行（直接复制执行）：whois 域名（比如输入whois baidu.com，就能查到百度域名的信息）
在线平台：阿里云Whois、站长之家Whois、爱站Whois
查：域名注册人、联系邮箱、DNS服务器、到期时间、注册商（相当于域名的“身份证”信息）

2. ICP备案查询

通过备案信息，能一次性找到“同一个主体”的所有网站，相当于一下子扩大了攻击范围。

官方平台：工信部ICP备案查询（beian.miit.gov.cn）
第三方工具：天眼查、企查查；不仅能查备案，还能通过股权穿透，找到目标的子公司资产
便捷工具：站长备案查询、爱站备案查询

3. 子域名搜集

主站防护一般都很严，但子域名不一样——很多子域名是测试站、旧系统，容易出现弱口令。

✅ 工具推荐

OneForAll：综合能力最强，能自动去重、批量挖掘子域名，不用手动操作太多
wydomain / dnsburte：靠字典爆破子域名，适合批量扫描，操作简单
Layer 子域名挖掘机：上手门槛最低，简单粗暴，新手也能快速用起来
Maltego：能把资产做成可视化图谱，方便梳理所有关联的子域名和资产

✅ 在线平台

crt.sh（必用！）：通过证书透明度批量挖子域名，效率超高，新手也能轻松操作
站长子域名查询、dnsdumpster：操作简单，适合快速补充子域名
censys、zoomeye、fofa：能批量筛选出存活的子域名，不用一个个验证

04 真实IP与CDN绕开

很多网站会挂CDN（相当于给服务器加了一层“防护壳”），看不到真实IP就没法进一步操作，所以这一步是攻防的关键，必须掌握。

1 、CDN快速判断方法

多地ping：打开ping.chinaz.com、ip138.com，测试不同地区访问目标域名的IP，如果IP不一样，基本可以确定挂了CDN

命令判断：在命令行输入nslookup或dig + 域名，如果返回多个IP，基本可以确定挂了CDN

2、 10种真实IP获取方法

子域名/分站IP 查询目标域名的子域名（dev.a.com、admin.a.com）的 A 记录。很多子域名不会配置 CDN，解析得到的 IP 有很大概率就是源站真实 IP。但注意：子域名也可能单独挂 CDN 或与主站共用 CDN。
历史DNS解析记录 使用微步在线、SecurityTrails、DNSdumpster 等平台，查询域名历史上解析过的 IP 地址。如果目标曾在一段时间内未使用 CDN，或 CDN刚切换期间，历史记录中可能保留真实 IP。需注意历史 IP 可能已失效或被回收。
SSL证书关联域名反查 在 crt.sh、爱站等平台查询目标域名使用的 SSL 证书（通过证书序列号或哈希），找出所有使用同一证书的其他域名（通常是子域名或关联域名）。然后解析这些域名，若其中某个域名未挂 CDN，其 IP 才可能是真实 IP。注意：证书本身不包含 IP，不能直接“反查出 IP”，必须经过“找关联域名→解析域名”两步。
phpinfo页面泄露 如果目标网站存在暴露的 phpinfo.php 页面，其中的 $_SERVER[‘SERVER_ADDR’] 或 SERVER_ADDR 字段会直接显示服务器真实 IP。该方法准确但属于严重配置漏洞，现代网站极少出现。
从CDN未覆盖区域访问 使用位于目标 CDN 服务商没有部署节点的地理区域的服务器或工具访问域名（例如，对于只在国内部署节点的 CDN，使用国外 VPS 访问）。此时请求可能直接回源，获得真实 IP。
Favicon 哈希搜索 计算网站 favicon.ico 的 mmh3 哈希值（或使用其他哈希算法），然后在 Shodan、Fofa、ZoomEye 等网络空间搜索引擎中搜索该哈希。由于 favicon 通常存储在源站且 CDN 不会替换，可以定位到使用相同图标的服务器 IP。注意：多站同图标会带来干扰，需要人工验证。
邮件服务器 MX 记录 查询域名的 MX 记录，得到邮件服务器 IP。邮件服务器通常不挂 CDN，但这个 IP 是邮件服务器的地址，不等于 Web 服务器的真实 IP（两者可能位于不同机器甚至不同网段）。可作为辅助线索（例如扫描该 IP 的同 C 段，或用于社工信息收集）。
C段扫描 + 特征过滤 先获取目标域名当前解析的任意 IP（即使是 CDN 节点 IP 也可以作为参考），扫描该 IP 所在的 /24 网段（C 段），然后通过 HTTP 响应头、页面标题、SSL 证书指纹、HTML 结构等特征过滤出与目标网站相似或关联的服务器，可能找到同网段内的源站真实 IP。注意：云厂商的 C 段可能包含大量无关主机，过滤工作量较大。
自动化绕过工具 使用 fuckcdn、w8fuckcdn 等工具，它们内部集成了上述多种方法（子域名、历史记录、证书关联等）。
威胁情报平台反查 在微步在线、360 威胁情报平台、VirusTotal 等平台输入域名，查看平台关联的 IP 列表。这些平台会聚合历史解析、样本通信、证书日志等数据，有时会直接给出源站真实 IP。注意：平台数据存在滞后或误报，需要交叉验证。

05 端口与服务探测

端口就相当于服务器的“大门”，不同的大门对应不同的服务，只要其中一扇大门有漏洞（比如弱口令），基本就能直接进入服务器。

1、本机端口查看方法

Windows系统：在命令行输入netstat -anbo，能看到本机所有开放的端口，以及每个端口对应的进程
Linux系统：在命令行输入netstat -pantu，能看到端口、对应的进程，还有连接状态

2、目标端口扫描工具与命令

nmap（必学，全能工具） nmap -sV –script=banner IP（扫描目标IP的端口、对应服务版本，还有Banner信息，快速摸清服务器情况）nmap -Pn -p- IP（扫描所有端口，忽略Ping检测，避免被目标发现）
masscan：扫描速度超快，适合批量扫描同一网段（C段）的端口，效率很高
在线工具：站长端口扫描、chinaz端口查询，不用装软件，打开网页输入IP就能扫描，适合新手

3、常见高危端口汇总

22（SSH，远程登录端口，容易弱口令）、23（Telnet，老式远程登录，安全性低）、80/443（Web端口，网站入口）、8080（备用Web端口，常被忽略）、3389（RDP，Windows远程桌面，弱口令重灾区）、5900（VNC，远程控制端口）、3306（MySQL，数据库端口）、6379（Redis，缓存端口，常出现未授权访问）

06 Web指纹识别技巧

知道网站是用什么搭建的，才能精准找到对应的漏洞（比如WordPress、ThinkPHP等）

✅ 在线工具

云悉Web指纹：识别精度高，还能批量识别多个网站，适合批量操作

✅ 命令工具

whatweb：简单直接，在命令行输入whatweb 目标URL，就能快速识别网站指纹
CMSmap、cmsprint、vulnx：专门用来识别CMS系统，还能顺带检测对应漏洞，针对性强

✅ 常见识别点

响应头Server字段：打开网站F12，查看响应头，能看到服务器类型（比如Nginx、Apache、Tomcat）
Cookie名称：比如ThinkPHPSESSID对应ThinkPHP框架，PHPSESSID对应PHP开发的网站
HTML注释、JS文件：网站源码的注释里，常常会泄露CMS版本，比如“Powered by WordPress”
页面图标、目录结构：比如网站有/wp-admin目录，基本就是WordPress系统；有/discuz目录，就是Discuz系统

07 目录扫描与敏感文件挖掘

比起前台页面，网站的后台、备份文件、数据库源码，更容易找到漏洞，配合简单的搜索语法，能快速找到这些敏感信息。

✅ 工具推荐（按易用性排序）

dirb、dirbuster：经典的目录扫描工具，操作简单，能快速扫描网站的隐藏目录
7kbscan-WebPathBrute：能自动生成字典，扫描精准度高，不容易遗漏敏感目录
Burp Suite主动爬虫：结合抓包工具，能挖掘出隐藏的目录和接口，适合进阶操作

✅ 重点关注文件类型

备份文件：bak、zip、rar、sql、tar.gz
配置文件：config、inc、env
后台目录：admin、manage、system、login
日志文件：log、txt
源码泄露：.git、.svn、.ds_store

✅ Google Hacking常用语法

site:xxx.com inurl:admin（替换xxx.com为目标域名，快速找到网站后台登录页）
intitle:后台管理 site:xxx.com（通过“后台管理”这个标题，找到网站后台）
filetype:bak sql zip site:xxx.com（搜索目标域名下的备份文件，直接下载查看）
intext:password token key site:xxx.com（搜索网站里包含密码、密钥的敏感内容）

08 网络空间测绘平台使用

不用一个个手动查找资产，用这些平台，直接搜索全网匹配的目标资产，效率翻倍。

✅ 核心平台（按实用性排序，新手先学FOFA）

FOFA：Web资产最多，搜索规则简单，性价比高，新手容易上手
ZoomEye 钟馗之眼：不仅能找Web资产，还能找IoT设备、服务器，适用范围广
Shodan：全球设备搜索引擎，能找到很多特殊设备（比如摄像头、路由器），适合进阶使用
Censys：证书和IP资产很全，识别精准度高，适合精准查找目标

✅ 常用搜索示例（直接套用）

title=”登录” && country=”CN”（搜索国内所有带登录页的网站，扩大挖掘范围）
server=”Tomcat/7.0″（搜索所有用Tomcat 7.0版本的站点，这类站点有已知漏洞）
icp_name=”xxx公司”（替换xxx公司为目标主体，搜索该公司备案的所有资产）

09 通用实战流程

不管是挖漏洞、护网，还是做渗透测试，按这个步骤来，高效不遗漏，新手也能快速上手：

输入目标主域名 → 查Whois和ICP备案 → 拉出同一个主体的所有域名
批量挖掘子域名 → 去重、筛选出能正常访问的站点
判断目标是否有CDN → 尝试绕开CDN，获取服务器真实IP
对真实IP进行端口扫描、Banner识别，摸清服务器情况
识别网站指纹 → 确定CMS、中间件及版本，找对应漏洞
进行目录扫描 → 找后台、备份文件、上传点等敏感入口
用空间测绘平台补充C段、关联资产，扩大攻击面
整理所有资产清单 → 进入漏洞探测阶段，开始找可利用的漏洞

关注我，后续持续更新网络安全实战干货、工具教程、漏洞利用技巧，从零开始，一起成长为攻防高手 ✨

更多福利

2026年AI+网络安全专家班是今年最新更新的系统培训课程，欢迎大家咨询参加！

本培训旨在为对安全感兴趣的师傅们提供系统的安全学习路线，在短时间内习得AI+网络安全领域的关键技能，将网络安全核心技能一网打尽，实现AI环境下网络安全高端人才的培养。

完整版课程内容

请扫码备注：【安全课程】免费领取

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：马哥网络安全 X X《攻防侦察｜信息搜集全流程实战》