信息收集方法
第一层:基础指纹识别
目标:搞清楚这个网站"是什么"
1. 看首页标题 <title> → 知道是哪个单位/公司 2. 看响应头 Server: Apache / nginx / IIS / VWebServer X-Powered-By: PHP / ASP.NET Set-Cookie: PHPSESSID / JSESSIONID / ASP.NET_SessionId → 知道语言和框架 3. 看链接中的文件后缀 .php → PHP .jsp → Java .asp/.aspx → ASP.NET .htm → 静态页或伪静态 .action / .do → Struts2/Spring 4. 看 JS/CSS 路径 /lib/template/static/ → 自研CMS /Public/ → ThinkPHP /core/ → ThinkPHP /assets/ → Laravel /wp-content/ → WordPress /dede/ → 织梦CMS /e/admin/ → 帝国CMS
第二层:路径爆破与文件发现
目标:找到隐藏的功能点和管理后台
/robots.txt → 看到禁止爬取的路径 /sitemap.xml → 拿到所有页面URL /admin/ /manage/ /login/ /system/ /.git/config → Git泄露 /.env → 环境变量 /backup.zip → 备份文件 /phpinfo.php → PHP信息 /api/ /swagger-ui.html → API文档 /upload/ → 文件上传目录
关键技巧:先扫 robots.txt 和 sitemap.xml,这两个文件直接告诉你网站有哪些页面,比盲目爆破快 10 倍。
第三层:HTML 源码分析
目标:从页面 HTML 中找到隐藏的接口和参数
1. 提取所有 <a href="..."> 链接 → 找到新闻、分类、分页等动态页面 2. 提取所有 <form action="..."> → 找到搜索、登录、提交等交互接口 → 提取 <input name="..."> 获取参数名 3. 提取所有 <script src="..."> → 找到 JS 文件,里面可能包含 API 地址和配置 4. 提取所有注释 <!-- ... --> → 经常有隐藏的链接或调试信息 → 比如 cdcas.edu.cn 的注释里就有隐藏的导航链接
第四层:子域名与关联站点
目标:扩大攻击面
从首页HTML中提取所有 #.cdcas.edu.cn 的链接 → jw, kyc, szjy, zsw, lib, gj, fzygh 等10+个子站 从页面中找外链: → scnucas.com(旧站) → jtoa.cqyti.com:9090(OA系统) → ykt.tskjxy.edu.cn:9080(缴费系统)
用什么工具:
直接在首页HTML搜索 //*.目标域名
或者 grep -oP 'https?://[a-z0-9-]+.目标域名' 页面文件
第五层:错误信息探测
目标:通过错误信息获取敏感数据
1. 数组参数注入(ThinkPHP专属) ?keyword[]=test → 返回"preg_match()类型错误" → 暴露物理路径 /var/www/html/core/function/helper.php → 暴露版本 3.2.1-20220927 2. 单引号注入 ?id=1' → 触发SQL错误 → 暴露数据库类型(Oracle / MySQL / SQL Server) → 有时暴露物理路径 3. 加长参数 / 异常参数 ?id=999999999 → 可能触发溢出错误 ?id=-1 → 可能触发业务逻辑错误
