渗透测试第一步就是对目标的信息收集，如果收集的足够全面，拿到权限轻而易举。下面是对目前我掌握到的信息收集流程的记录。

收集域名及域名信息

当拿到目标的信息时，可能只是某个公司名字。可以通过天眼查、企查查、顺企查，有时钉钉也是搜索企业信息的好帮手，总之就是一通搜索，除非没网站的，基本都能拿到域名。

拿到域名后，可以通过whois查询ICP备案查询网、站长工具，获取IP、法人的名字、电话、邮箱、地址等，这些都要记录下来，这对社工攻击很有帮助。

敏感信息收集

拿到域名、ip后可以通过360空间测绘、ZoomEye、fofa等查询网站可能存在的漏洞，GooGle搜索语法利用好了也是一款信息收集利器。对网站框架的信息收集可以用Wappalyzer插件，burp抓包也可以获取一些服务器信息。

子域名信息收集

子域名检测工具

本人用的是Layer子域名挖掘机，非常方便，如果网站的域名是www.aabb.com，就将aabb.com放进去，通过暴力枚举就可以扫描子域名了。

常见的有 mail.aabb.com,smtp.aabb.com，有时子域名可以直接找到后台，有一次在做信息收集时，某公司的后台就是admin.aabb.com。

Google语法也可以搜索子域名例

如“site:baidu.com"就是搜索百度旗下的子域名。

证书透明度公开日志枚举

一个SSL/TLS证书通常包括域名、子域名和邮件，最简单的就是使用搜索网站，例如 crt.sh。

端口信息收集

端口信息收集是很重要的一个过程，通过查看开放端口，可以知道开放了扫描服务，以此来找到对应的漏洞，常见端口有：

最常用的端口扫描工具就是nmap了，nmap的各种命令也是可以学习的一个点。

指纹识别

这里不是人的指纹，而是网站的特征码，比如wordpress在robots.txt中会包含wp-admin，就可以直接用wp-login找到登录页面，找到对应的CMS指纹就可以针对性的寻找漏洞，工具有御剑Web指纹识别，轻量Web指纹识别，还有一些在线网站。

寻找真实IP

在上面的过程中可能已经能找到IP了，但不一定是真实的，可能经过了CDN（内容分发网络），可以通过站长工具的多地ping来判断。绕过CDN可以尝试访问子站查看子站的ip或者从国外访问都可能会得到真实的ip。

目录扫描

常用的工具有御剑后台扫描、dirb，这是最常见的找到登录页面的方法。

社会工程信息收集

当找到登录页面后，用户名和密码很可能与个人信息有关，可以从招聘网站、脉脉、钉钉（实在头疼可以动用某库）。

PS：这是对最近学习的一些总结，仅供学习，请勿非法使用。

End