第二章:信息收集——黑客怎么找到你?
信息收集为什么是第一关?
在渗透测试中,信息收集占整个工作量的50%以上。
这不是夸张。一个经验丰富的渗透测试工程师拿到目标后,前两到三天几乎不碰任何漏洞扫描器,而是在做一件事:找信息。
道理很简单:你不知道目标长什么样,就不知道从哪里下手。
想象你要进入一栋大楼。你知道它有几个门、几个窗、几个地下车库入口;你知道保安几点换班;你知道哪个摄像头是假的;你知道保洁阿姨的工牌长什么样——那你还需要跟防弹玻璃正面对抗吗?
信息收集的目的,就是找到那条“阻力最小的路”。
被动收集 vs 主动收集
在开始之前,需要先搞清楚两种信息收集的区别。
被动信息收集:不直接接触目标系统,只利用公开渠道。这种方式完全合法,目标也不会察觉你在关注它。
主动信息收集:直接与目标系统发生交互,比如扫描端口、探测服务。这种方式可能留下日志,可能触发安全告警。
在实际渗透中,永远先做被动,再做主动。因为被动信息收集已经把大量答案摆在你面前了。
IP与域名:攻击的起点
每一个网站背后都有一个IP地址。域名(比如 example.com)只是方便人类记忆的“昵称”,真正的地址是IP。
黑客会做三件事。
第一件是DNS查询:把域名转换成IP地址。这就像查电话簿,完全公开,没有任何攻击性。一条简单的查询命令就能返回目标服务器的IP。
第二件是子域名枚举:一个公司不止一个域名。mail.example.com是邮箱入口,admin.example.com是管理后台,api.example.com是接口服务——每个子域名都可能是一个独立的入口。
举个例子:example.com可能做了很好的防护,但test.example.com可能只是一个测试环境,密码是admin/123456。黑客要的就是这种“疏忽”。
第三件是反向查询:同一个IP地址上可能挂了多个域名。找到它们,就找到了目标公司的“亲戚”网站。这些网站可能共享同一个服务器,攻破一个就等于攻破一片。
搜索引擎:被低估的武器
大多数人用搜索引擎只搜“表面”,而黑客用搜索语法去挖“底层的灰尘”。
以Google为例,有几个常用的搜索指令:
site:指令可以限定在某个域名内搜索。filetype:指令可以搜索特定文件类型,比如PDF或Excel。intitle:指令搜索标题中包含某关键词的页面。inurl:指令搜索URL中包含某关键词的地址。cache:指令可以查看谷歌缓存的旧版本网页。
一个经典组合是:intitle:"index of" "parent directory" site:example.com。这个搜索可以找到目标网站上忘记关闭目录列表的文件夹——有时候里面直接放着密码文件和备份包。
不要以为这是“高级技巧”。这就是个搜索功能,只是大多数人不知道可以这么用。
GitHub:开发者的“自爆现场”
GitHub是全世界最大的代码托管平台,也是信息泄露的重灾区。
开发人员为了图方便,经常把密钥、密码、内部配置直接写在代码里,然后上传到公开仓库。
常见的泄露类型包括:云服务密钥(AWS、阿里云、腾讯云)、数据库密码、内部API地址与Token、.env文件、以及各种配置文件。
有人专门写了工具自动扫描GitHub,24小时不停地寻找这些泄露的密钥。这不是什么高深的技术,这是“捡钥匙”。
一个真实的案例:某大厂的云服务密钥被员工不小心上传到GitHub。一个安全研究员扫描到了,用这个密钥登录了该公司的云控制台,发现可以访问上百万条用户数据。他报告了这个问题,公司连夜撤换密钥。
2026年的新趋势:不只是代码仓库,连GitHub Actions的运行日志里也可能泄露密钥。当自动化脚本打印环境变量用于调试时,这些日志如果是公开的——只要你懂得去看,就能捡到别人丢掉的钥匙。
社交媒体与招聘网站
LinkedIn、脉脉、Boss直聘——这些网站是黑客的“情报部”。
为什么?因为公司会在招聘信息里写自己用什么技术栈。比如:“招聘Java开发,熟悉Spring Cloud、K8s、Redis、MongoDB”。
这句话就在告诉黑客:我用的是Spring Cloud全家桶、K8s容器化、Redis做缓存、MongoDB做数据库。这些信息有什么用?知道用K8s,就重点关注容器逃逸和kubeconfig泄露;知道用Redis,就检查是否存在未授权访问;知道用Spring Cloud,就关注Spring相关历史漏洞。
另外,员工的社交媒体账号可能暴露更多信息。一张工牌照、一次“上班打卡”的定位、一个“今天加班”的动态——都可能成为社会工程学攻击的素材。
历史快照与Whois
Wayback Machine(archive.org)是一个互联网档案馆,保存了几十亿个网页的历史版本。它的价值在于:曾经有一个网站,现在可能修好了漏洞,但三个月前的版本里可能还有。Wayback Machine就是帮你找回那个“旧版本的自己”。
实战中,它可以帮你找到旧版本的API接口(新版可能删了,但旧版还在),找到曾经泄露过的文件,分析网站的技术演变。
Whois是一个协议,用于查询域名的注册信息:注册人姓名和邮箱、注册商、创建时间和过期时间、域名服务器。
这些信息可以用来做社会工程学(给注册人发钓鱼邮件),判断目标公司的IT成熟度(一个刚注册一年的域名 vs 一个注册了二十年的域名),甚至做域名劫持的准备——如果对方忘记续费,你可以抢注。
端口扫描:敲敲门
每台服务器就像一个小区,有无数个房门,叫做端口。不同的端口开给不同的服务。
端口22是SSH,远程登录的“管理员通道”。端口80是HTTP,普通网站的“正门”。端口443是HTTPS,加密网站的“安全正门”。端口3306是MySQL数据库。端口6379是Redis缓存。端口27017是MongoDB数据库。
端口扫描就是逐个敲门,看看哪个门开着。
但是,2026年的今天,直接扫整个公网已经很低效了。更好的做法是:先用被动收集拿到目标的大致范围——域名、AS号、云服务商IP段——然后只扫描这个范围内的端口,做定向扫描。
目录与文件探测
一个网站上有很多你从首页看不到的路径。比如/admin是后台登录页,/backup.zip是备份文件,/api/v1/users是接口地址,/phpinfo.php是PHP环境信息,/.git/是Git版本控制文件夹。
目录探测就是用一个字典(常见路径列表),去逐个尝试,看看哪些路径存在。
这一步经常能收获意想不到的东西。如果你发现一个可读的/.git/文件夹,意味着你可以直接下载整个网站的源代码,包括数据库配置、内部API逻辑、甚至管理后台的密码哈希。
2026年的信息收集:供应链踩点
传统的信息收集是“盯着目标本身”。2026年的信息收集是 “盯着目标的上游”。
一个现代应用不是从零写的。它依赖开源库(npm、pip、maven)、开发工具(GitHub Actions、GitLab CI)、云服务(AWS、阿里云)。
供应链踩点的思路是这样的:
第一,目标公司用的是哪个开源库?这个库的作者有没有被钓鱼?第二,目标公司的GitHub Actions配置文件有没有泄露密钥?第三,目标公司依赖的镜像仓库(Docker Hub)里有没有藏后门?
一个具体的例子:你不是直接攻击example.com,而是去GitHub上搜索example.com的员工最近提交了什么代码。你发现某员工在一个公开仓库里留下了公司的内部API地址。你不攻击网站,你攻击这个API——因为它可能防护更弱。
这就是2026年的信息收集:攻击面不再是“一个网站”,而是“一群人 + 一堆工具 + 一串依赖链”。
信息收集的产出是什么?
信息收集结束后,渗透测试工程师手里应该有一份这样的“情报地图”:
域名列表:example.com, api.example.com, admin.example.com
IP范围:某个具体的网段
开放端口:22(SSH), 443(HTTPS), 3306(MySQL)
技术栈:Nginx、PHP、MySQL
员工信息:开发人员小张、运维人员小李
泄露密钥:发现一个过期的AWS Key
历史快照:3个月前存在/test/admin路径
这份地图告诉你:哪里最容易突破。
这一章你该记住什么
第一,信息收集占渗透测试50%以上的工作量——不要急着“攻击”,先学会“观察”。
第二,被动收集(公开渠道)优先于主动收集(扫描)——合法、隐蔽、零成本。
第三,搜索引擎语法、GitHub、社交媒体、历史快照都是金矿,不要只盯着IP和端口。
第四,2026年的新方向是供应链踩点——盯着目标的开发流程和依赖链。
第五,信息收集的产出是一份“攻击地图”,告诉你从哪里切入最省力。
下一章,我们将进入Web攻击的核心原理:SQL注入——为什么拼接字符串会出大事?
