摘要信息收集是渗透测试的重中之重情报获取的完整度直接决定后续渗透路径的选择。本文基于Kali Linux实操环境结合公网域名zonetransfer.me与内网 192.168.1XX.0/24 网段完整演示被动无源情报收集和主动数据包探测两类主流方式梳理whois、dig、Recon-ng、Nmap、WAFW00f等工具的实战用法总结测绘思路与实操避坑要点适合网安入门学习者参考。标签#网络安全 #信息收集 #渗透测试 #Nmap #Kali Linux一、实训概述在渗透测试标准流程中信息收集占据六成以上的工作量分为两大体系- 被动信息收集不向目标服务器发送任何探测数据包依托互联网公开资源挖掘资产隐蔽性极高- 主动信息收集主动构造网络报文与目标产生交互获取端口、系统、防火墙等深层服务信息存在被安全设备检测告警的风险。本次实训按照课程要求完成被动信息收集任务2.1并选取主动信息收集2.3操作系统探测、2.8WAF防火墙识别两个实验进行实操记录。二、被动信息收集实操任务2.12.1 Whois 域名注册信息查询指令bashwhois zonetransfer.me实操说明Whois是域名基础情报查询工具可以直接读取域名注册局的公开数据。执行命令后成功获取到域名注册商、创建时间、过期时间、运维联系邮箱、注册人机构以及域名安全状态。通过这些信息可以初步锁定目标企业主体、运维人员联系方式为后续社工、邮件钓鱼等攻击方式提供原始素材。2.2 Dig 解析记录查询 DNS域传送漏洞利用1. 先查询域名权威DNS服务器bashdig ns zonetransfer.me结果返回两台域名解析服务器 nsztm1.digi.ninja 、 nsztm2.digi.ninja 。2. 尝试利用AXFR域传送漏洞拉取完整DNS记录bashdig axfr nsztm1.digi.ninja zonetransfer.me实操心得DNS区域传送漏洞属于高危配置漏洞若管理员未限制区域传输权限攻击者可以一次性拉取全部A记录、MX邮件记录、TXT校验记录批量扒出所有子域名、内网映射IP、邮件服务器地址。zonetransfer.me作为经典的漏洞测试靶场此处可以完整拉取解析列表也是快速扩张资产范围的高效手段。2.3 子域名与关联邮箱自动化挖掘通过开源爬虫工具抓取全网公开索引数据在不发送扫描包的前提下批量挖掘出3条有效业务邮箱、8个独立子域名站点。很多企业的主站点防护严密但疏于管理的二级子域名往往存在大量安全漏洞子域名挖掘也是资产测绘里必不可少的一环。2.4 Recon-ng 一体化被动情报框架recon-ng 是一款模块化的自动化情报收集框架整合了大量第三方公开情报源支持子域名挖掘、联系人搜集、IP溯源、数据入库与结果导出。相较于零散的单条命令框架化工具可以做到情报统一管理适合大规模资产批量测绘也是渗透测试工程师日常高频使用的工具。2.5 在线情报平台可视化资产整合利用第三方网络情报网站整合域名IP、AS自治域、机房运营商、DNS解析架构、安全防护配置等信息。命令行工具输出的文本信息较为零散在线平台可以直观梳理资产拓扑弥补了终端可视化不足的短板做到命令行网页情报双向互补。三、主动信息收集实操任务2.3、2.8 内网网段192.168.1XX.0/24环境说明主动探测实验限定在内网 192.168.1XX.0/24 网段本次实验目标主机 192.168.110.1283.1 Nmap 端口、服务、操作系统指纹探测任务2.3执行扫描指令bashsudo nmap -sV -O 192.168.110.128参数释义- -sV 版本探测识别开放端口对应的软件版本- -O 操作系统指纹探测通过TCP报文特征比对数据库推断主机系统。扫描结果精准识别出目标为Linux内核系统同时列出全部开放端口与对应服务版本。在内网环境中无额外云防护干扰Nmap的识别准确率可以达到很高水准。3.2 Nmap脚本引擎检测Web WAF防护任务2.8bashsudo nmap -sV -p 80,443,8080,8081 --scripthttp-waf-detect zonetransfer.mesudo nmap -sV -p 80,443 --scripthttp-waf-detect www.example.com调用Nmap自带的 http-waf-detect 脚本向Web端口发送带有攻击特征的请求载荷通过返回报文差异判断是否存在Web防火墙1. zonetransfer.me后端为Apache原生服务未部署云端WAF2. example.com识别出Cloudflare反向代理判定存在云防护节点。3.3 WAFW00f 专业防火墙指纹识别WAFW00f是专门的WAF指纹识别工具相比Nmap内置脚本特征库更加完善。工具会批量发送不同类型的异常请求根据响应码、响应头、页面返回内容进行指纹匹配可以精准区分Cloudflare、开源WAF、厂商硬件防火墙帮助我们判断目标站点的防护强度规划后续是否可以直接进行注入、爆破等操作。四、综合学习总结4.1 标准测绘流程先被动后主动被动信息收集作为前置工作尽可能在不暴露自身的情况下搜集海量公开资产在锁定关键IP与域名之后再使用Nmap等工具进行主动探测极大降低扫描行为带来的安全告警风险这也是业内通用的渗透前置思路。4.2 工具组合思维扬长避短- 轻量命令whois、dig适合快速调取单一维度信息- 框架工具Recon-ng适合规模化自动化测绘- 主动扫描Nmap兼顾端口、系统、脚本探测通用性最强- 专项工具WAFW00f专攻防火墙识别弥补通用工具精度不足的问题。4.3 公网环境与内网环境的探测区别在内网 192.168.X.0/24 网段中没有云反向代理、CDN干扰IP、端口、系统信息基本真实可靠而公网大量站点接入Cloudflare等CDN服务普通扫描只能拿到节点IP想要获取源站地址依旧需要依赖DNS、历史解析记录等被动情报手段。4.4 合规红线提醒所有主动端口扫描、载荷探测操作仅允许在授权实训环境与自己拥有所有权的设备上进行。未经授权对公网服务器进行扫描探测违反《网络安全法》相关条例日常技术练习必须严守合规边界。五、后续学习规划现阶段已经掌握基础的情报搜集手段后续计划深入学习1. 子域名爆破、目录爆破等暴力枚举类测绘方式2. 扫描流量伪装、速率控制规避IDS、IPS设备的告警3. 结合SSL证书、历史备案、爬虫快照等更多维度的情报挖掘搭建完整的个人信息收集工具链。