第二章：信息收集——黑客如何锁定你？

先明确一点：信息收集环节，通常占据渗透测试整体工作量的50%以上。 这不是夸大。资深渗透测试工程师拿到目标后，前两三天几乎不会触碰任何漏洞扫描器。他们在做什么？就一个字：搜。持续搜。 逻辑很简单——你连目标的基本轮廓都不清楚，从何下手？好比你要潜入一栋建筑。你清楚它有几个出入口、几扇窗户、几个地下车库入口；你知道安保换岗时间；你识别出哪些摄像头只是摆设；你甚至搞到了保洁人员的工牌样式。那么你还有必要和防弹玻璃硬碰硬吗？ 信息收集的核心目标，就是帮你定位那条“最低阻力的路径”。

被动收集 vs 主动收集

动手之前，必须先厘清两种信息收集方式的本质差异。

被动信息收集

不直接触碰目标系统，仅依赖公开可访问的渠道。这种方法完全合法，且目标完全察觉不到有人在关注它。

主动信息收集

直接与目标系统产生交互，例如扫描端口、探测服务。这类操作会在目标服务器留下日志记录，甚至触发安全告警。 实战铁律：始终先进行被动收集，再进行主动收集。因为多数情况下，被动收集已经把你需要的大部分答案摆到了桌面上。

IP与域名：攻击的起点

每个网站背后都对应一个IP地址。域名（如 example.com）只是方便人类记忆的“别名”，真正的网络地址是IP。 具体来说，攻击者会从以下三个方向切入。

第一件：DNS查询

将域名解析为IP地址。这个过程就像查阅电话簿，完全公开且毫无攻击性。一条简单的查询命令，就能拿到目标服务器的IP。

第二件：子域名枚举

一家企业通常不止一个域名。mail.example.com是邮件入口，admin.example.com是管理后台，api.example.com是接口服务——每个子域名都可能成为一个独立的攻击面。 典型案例：example.com可能安全防护严密，但test.example.com可能只是一个测试环境，密码仍使用默认的admin/123456。攻击者寻找的就是这类“疏忽”。

第三件：反向查询

同一个IP地址上可能托管着多个域名。全量找出这些域名，等于发现了目标企业的“关联站点”。这些站点可能运行在同一台服务器上——攻破其中一个，就可能控制全部。

搜索引擎：被低估的武器

普通用户只用搜索引擎查找表层信息，而攻击者用搜索语法挖掘“隐藏的灰尘”。 以Google为例，几个常用的搜索指令：

• site: 限定搜索范围在指定域名内
• filetype: 搜索特定文件格式，如PDF或Excel
• intitle: 搜索标题中包含指定关键词的页面
• inurl: 搜索URL中包含指定关键词的地址
• cache: 查看谷歌缓存的旧版本网页

一个经典组合：intitle:"index of" "parent directory" site:example.com。这条命令能帮你找到目标网站上忘记关闭目录列表的文件夹——里面有时直接存放着密码文件和备份包。 技术含量高吗？其实并不复杂。它只是搜索引擎的高级功能，只是大多数人不知道还能这样用。

GitHub：开发者的“自曝现场”

GitHub是全球最大的代码托管平台，同时也是信息泄露的高发区。 开发人员图方便，经常把密钥、密码、内部配置直接写入代码，然后上传到公开仓库。 常见的泄露类型：云服务密钥（AWS、阿里云、腾讯云）、数据库密码、内部API地址与Token、.env文件、各类配置文件。 有人编写了自动化工具，24小时在GitHub上扫描这些泄露的密钥。谈不上高深技术，本质上就是“捡钥匙”。 真实案例：某大厂的云服务密钥被员工不慎上传至GitHub。一名安全研究者扫描到该密钥后，直接登录了该公司的云控制台，发现可访问上百万条用户数据。他提交了漏洞报告，公司连夜更换密钥。 到2026年，出现一个新趋势：不仅代码仓库会泄露密钥，GitHub Actions的运行日志中也可能隐藏秘密。自动化脚本在调试时打印环境变量，如果这些日志公开——只要你会查看，就能捡到别人遗漏的钥匙。

社交媒体与招聘网站

LinkedIn、脉脉、Boss直聘——这些平台，是攻击者的“情报站”。 原因在于：公司会在招聘信息中公开自己的技术栈。例如：“招聘Java开发，熟悉Spring Cloud、K8s、Redis、MongoDB”。 这句话等于直接告诉攻击者：我用的是Spring Cloud全家桶、K8s容器化、Redis做缓存、MongoDB作数据库。这些信息有何用处？知道用K8s，就重点排查容器逃逸和kubeconfig泄露；知道用Redis，就检查是否存在未授权访问；知道用Spring Cloud，就去搜索Spring相关历史漏洞。 此外，员工的社交媒体账号可能暴露更多细节。一张工牌照、一次“上班打卡”的定位、一条“今天加班”的动态——这些都可能成为社会工程攻击的素材。

历史快照与Whois

Wayback Machine（archive.org）是一个互联网档案馆，保存了数十亿个网页的历史版本。它的价值在于：一个网站现在可能修复了漏洞，但三个月前的版本中可能仍存在可利用的缺陷。Wayback Machine就是帮你找回那个“旧版本的自己”。 实战中，它可以帮你找到旧版本的API接口（新版可能已移除，但旧版仍可用），发现曾经泄露过的文件，分析网站的技术演变历程。 Whois是一种查询域名注册信息的协议：注册人姓名和邮箱、注册商、创建时间和过期时间、域名服务器。 这些信息有何用途？可用于社会工程攻击（例如向注册人发送钓鱼邮件），用于评估目标企业的IT成熟度（一个刚注册一年的域名 vs 一个注册了二十年的域名），甚至为域名劫持做准备——如果对方忘记续费，你可以抢注。

端口扫描：敲门探路

每台服务器就像一个小区，有无数个房门，称为端口。不同的端口分配给不同的服务。

• 端口22是SSH，远程登录的“管理通道”
• 端口80是HTTP，普通网站的“正门”
• 端口443是HTTPS，加密网站的“安全正门”
• 端口3306是MySQL数据库
• 端口6379是Redis缓存
• 端口27017是MongoDB数据库

端口扫描就是逐个房门敲门，检查哪个门处于开启状态。 不过，到2026年，直接扫描整个公网已经低效。更好的做法是：先用被动收集获取目标的大致范围——域名、AS号、云服务商IP段——然后只针对这个范围进行定向扫描。

目录与文件探测

一个网站上存在许多你从首页看不到的路径。例如：

• /admin是后台登录页
• /backup.zip是备份文件
• /api/v1/users是接口地址
• /phpinfo.php是PHP环境信息
• /.git/是Git版本控制文件夹

目录探测就是使用一个字典（常见路径列表），逐个尝试，检查哪些路径存在。 这一步经常能收获意外成果。如果你发现一个可读的/.git/文件夹，意味着你可以直接下载整个网站的源代码，包括数据库配置、内部API逻辑，甚至管理后台的密码哈希。

2026年的信息收集：供应链踩点

传统的信息收集是“盯着目标本身”。2026年的信息收集，则是“盯着目标的上游”。 一个现代应用不是从零编写的。它依赖开源库（npm、pip、maven）、开发工具（GitHub Actions、GitLab CI）、云服务（AWS、阿里云）。 供应链踩点的思路如下：

• 目标公司使用了哪个开源库？该库的作者是否被钓鱼？
• 目标公司的GitHub Actions配置文件是否泄露了密钥？
• 目标公司依赖的镜像仓库（Docker Hub）中是否藏有后门？

一个具体案例：你不直接攻击example.com，而是去GitHub上搜索example.com的员工最近提交了什么代码。你发现某员工在一个公开仓库里留下了公司的内部API地址。你不攻击网站，你攻击这个API——因为它可能防护更弱。 这就是2026年的信息收集：攻击面不再是“一个网站”，而是“一群人 + 一堆工具 + 一串依赖链”。

信息收集的产出是什么？

信息收集结束后，渗透测试工程师手里应该有一份这样的“情报地图”：

• 域名列表：example.com, api.example.com, admin.example.com
• IP范围：某个具体的网段
• 开放端口：22(SSH), 443(HTTPS), 3306(MySQL)
• 技术栈：Nginx、PHP、MySQL
• 员工信息：开发人员小张、运维人员小李
• 泄露密钥：发现一个过期的AWS Key
• 历史快照：3个月前存在/test/admin路径

这份地图告诉你：哪里最容易突破。

这一章你该记住什么

• 第一，信息收集占渗透测试50%以上的工作量——不要急着“攻击”，先学会“观察”。
• 第二，被动收集（公开渠道）优先于主动收集（扫描）——合法、隐蔽、零成本。
• 第三，搜索引擎语法、GitHub、社交媒体、历史快照都是金矿，不要只盯着IP和端口。
• 第四，2026年的新方向是供应链踩点——盯着目标的开发流程和依赖链。
• 第五，信息收集的产出是一份“攻击地图”，告诉你从哪里切入最省力。

下一章，我们将进入Web攻击的核心原理：SQL注入——为什么拼接字符串会出大事？

来源：互联网