攻防笔记

攻防笔记

主动信息收集思路总结

Step1：

(测绘引擎、oneforall、subfinder)

主动对被动信息收集获取的所有主域名进行子域名爆破，扩大攻击面

Step2：

(Masscan)

将前两轮（被动、主动）收集到的所有子域名去重复后进行全端口扫描，得到domain:port的格式资产

将前两轮（被动、主动）收集到的所有IP（排除CDN）去重复后进行全端口扫描，得到IP:Port格式资产

Step3：

（httpx）

将ip:port、domain:port格式的资产用HTTPX用于存活验证，因为HTTP不属于漏洞利用，极低概率被封

IP 获取URL

（arl）

将ip:port、domain:port格式的资产用EZ、ARL进行URL探测(仅探测，关闭漏扫功能) 服务识别 获取URL

以及端口指纹信息 （防止在信息收集阶段就被封IP）

将IP、子域名给EZ，让EZ自己做一轮top2000端口的扫描，并生成URL、端口指纹信息

Step4：

指纹识别：

ARL、EZ会自动进行指纹识别，该操作会有可能触发漏洞，无法避免

通过Finger、ehole对所有存活的非空URL进行WEB资产指纹识别

Step5：

将URL中有WEB服务的资产，去重复之后，进行JS文件探测、接口探测等

将404、403、401以及各种nginx、apache、IIS、spring等默认页面的资产进行路径探测

Step6：

对所有的有功能的、正常的网站，通过content-length去重复之后，进行路径探测，接口探测，包括

（404、403、401以及各种nginx、apache、IIS、spring等默认页面）的网站在爆破找到入口路径之

后，也需要放进来，该目的是为了探测网站的敏感目录，接口泄露情况，未授权情况等

去重复的逻辑

404、403、401以及各种nginx、apache、IIS、spring等默认页面 不要去重复 先去爆破路径

针对状态码，title正常显示，conent-length 不能过小 总结 ：就是比较正常 功能健全的网站 可以去重复

方便我们整理

因为后续会将有功能的网站加入到JS扫描和手工渗透测试。所以需要排除很污染项。

step5和step6存在部分冗余，中间有个度需要自己把控，越难渗透的资产，目录遍历的次数应该更多，

才能发现薄弱点

可以fuzz接口，可以嵌套fuzz路径，比如某个url 我们发现/web目录是网站入口，还可以再对/web这个

目录进行目录爆破

前五步可以照着做，后面5、6，里面会涉及到递归扫描URL，重复的扫描（比如http://192.168.1.1扫了

之后，发现存在/web路径，那么继续扫http://192.168.1.1/web），扩大字典的扫描，结合已知路径再

循环爆破的操作，大家根据实际情况利用

接下来我们开始按照上面的逻辑一步一步展开

子域名爆破

在被动信息收集的环节，我们拿到的子域名都是基于各

工作流

第一轮

目标单位–》发现域名–》资产测绘平台第一波信息收集（domain=“qianxin.com”）–>将获取到的IP 端

口信息用于URL探测、指纹识别、服务识别

result：获取到基于IP：port的应用指纹信息 以及基于URL的各种网页链接及其WEB指纹信息

第二轮

域名–>oneforall、subfinder、arl、ez 通过VPS或其他主机进行挂机扫描 获取目标子域名

（建议VPS或todesk远控其他主机进行该操作，第二轮和第一轮的IP最好区分开，第一轮是自己的物理

机，很多操作可能导致已经被封IP了，所以第二轮通过另一个IP或者代理池，可以发现是否出现了被封IP

的问题，这样能收集到更多可能因为被封IP而漏掉的指纹信息或者漏洞）

将第一轮的结果进行漏洞利用（也建议使用VPS，信息收集和漏洞利用可以是同一台，漏扫不要用本

机）

和手工测试（物理机本机 手机开启移动热点进行，手工测试不容易被封IP，不要使用家庭宽带用于渗透

测试，实在担心风险建议用proxifier全局流量socks代理进行

（关于代理方面的建议：非完全层面的全流量代理，大部分tcp确实能走全局，icmp无法代理，想要规避

溯源风险可通过虚拟机（仅主机模式）连接宿主机shadows socks服务端出网，但是效率较低，通常用

于APT工作））

第三轮

将VPS、 第三方主机的收集结果汇总去重复（第一轮已经扫过，考虑到效率这里将扫过的去掉重复项）

进行新一轮自动化漏扫 和手工渗透

后续打点章节细讲

后续根据成果情况 考虑是否需要重新扫描和手工渗透

防御规避

1.本机尽量不要去做主动指纹识别、漏扫xray的操作 我个人是优先本机去做手工渗透，需要IP可用，挂

代理始终没有本机方便

2.漏扫、指纹识别、域名收集 这种脚本化、工具化的东西都可以VPS、第三方主机搞定

3.一定要先信息收集，后漏扫，为了确保在漏扫前，我们的IP是干净的，没有被封禁的。 这样才能收集

到更多的资产，排除被误封的情况

4.在爆破路径前先做HTTPX批量识别框架、title、content-length、解析IP、JS探测等操作，跟第三条同

理，先信息收集再漏扫，先做不会被封IP的操作，再漏扫

因为JS探测、HTTPX在没有涉及到FUZZ的时候，都不会被封IP

5.一旦开始路径扫描、漏扫、ARL\EZ自动化的时候，就可以默认IP会被封了，漏扫可以考虑代理池。

代理池方案

可以利用网上的nps未授权访问来扩充自己的代理池

1.批量导出Fofa nps站点

2.资产探存活进行验证

3.批量测试NPS站点

4.编写获取cookie的脚本

(body=“nps@ehang.io” || body=“ehang.io”) && status_code=200 && after=“2025-07-01”

获取闭源软件源码

body="web.config" && "oa" && "rar" && country="CN"
body="web.config" && "U8" && country="CN"
body="web.config" && "EAS" && country="CN"
body="web.config" && "k3s" && country="CN"
body="web.config" && "kingdee" && country="CN"
body="web.config" && "系统" && country="CN"
body="web.config" && "办公" && country="CN"
body="web.config" && "EKP" && country="CN"