企业官网建设流程全解析

摘要

信息收集是渗透测试的重中之重，情报获取的完整度直接决定后续渗透路径的选择。本文基于Kali Linux实操环境，结合公网域名zonetransfer.me与内网 192.168.1XX.0/24 网段，完整演示被动无源情报收集和主动数据包探测两类主流方式，梳理whois、dig、Recon-ng、Nmap、WAFW00f等工具的实战用法，总结测绘思路与实操避坑要点，适合网安入门学习者参考。

标签：#网络安全 #信息收集 #渗透测试 #Nmap #Kali Linux

一、实训概述

在渗透测试标准流程中，信息收集占据六成以上的工作量，分为两大体系：

- 被动信息收集：不向目标服务器发送任何探测数据包，依托互联网公开资源挖掘资产，隐蔽性极高；
- 主动信息收集：主动构造网络报文与目标产生交互，获取端口、系统、防火墙等深层服务信息，存在被安全设备检测告警的风险。

本次实训按照课程要求，完成被动信息收集任务2.1，并选取主动信息收集2.3操作系统探测、2.8WAF防火墙识别两个实验进行实操记录。

二、被动信息收集实操（任务2.1）

2.1 Whois 域名注册信息查询

指令：

bash
whois zonetransfer.me


实操说明：
Whois是域名基础情报查询工具，可以直接读取域名注册局的公开数据。执行命令后，成功获取到域名注册商、创建时间、过期时间、运维联系邮箱、注册人机构以及域名安全状态。通过这些信息，可以初步锁定目标企业主体、运维人员联系方式，为后续社工、邮件钓鱼等攻击方式提供原始素材。

2.2 Dig 解析记录查询 + DNS域传送漏洞利用

1. 先查询域名权威DNS服务器

bash
dig ns zonetransfer.me


结果返回两台域名解析服务器： nsztm1.digi.ninja 、 nsztm2.digi.ninja 。

2. 尝试利用AXFR域传送漏洞拉取完整DNS记录

bash
dig axfr @nsztm1.digi.ninja zonetransfer.me


实操心得：
DNS区域传送漏洞属于高危配置漏洞，若管理员未限制区域传输权限，攻击者可以一次性拉取全部A记录、MX邮件记录、TXT校验记录，批量扒出所有子域名、内网映射IP、邮件服务器地址。zonetransfer.me作为经典的漏洞测试靶场，此处可以完整拉取解析列表，也是快速扩张资产范围的高效手段。

2.3 子域名与关联邮箱自动化挖掘

通过开源爬虫工具抓取全网公开索引数据，在不发送扫描包的前提下，批量挖掘出3条有效业务邮箱、8个独立子域名站点。
很多企业的主站点防护严密，但疏于管理的二级子域名往往存在大量安全漏洞，子域名挖掘也是资产测绘里必不可少的一环。

2.4 Recon-ng 一体化被动情报框架

recon-ng 是一款模块化的自动化情报收集框架，整合了大量第三方公开情报源，支持子域名挖掘、联系人搜集、IP溯源、数据入库与结果导出。
相较于零散的单条命令，框架化工具可以做到情报统一管理，适合大规模资产批量测绘，也是渗透测试工程师日常高频使用的工具。

2.5 在线情报平台可视化资产整合

利用第三方网络情报网站，整合域名IP、AS自治域、机房运营商、DNS解析架构、安全防护配置等信息。
命令行工具输出的文本信息较为零散，在线平台可以直观梳理资产拓扑，弥补了终端可视化不足的短板，做到命令行+网页情报双向互补。

三、主动信息收集实操（任务2.3、2.8 内网网段：192.168.1XX.0/24）

环境说明：主动探测实验限定在内网 192.168.1XX.0/24 网段，本次实验目标主机： 192.168.110.128

3.1 Nmap 端口、服务、操作系统指纹探测（任务2.3）

执行扫描指令：

bash
sudo nmap -sV -O 192.168.110.128


参数释义：

- -sV ：版本探测，识别开放端口对应的软件版本；
- -O ：操作系统指纹探测，通过TCP报文特征比对数据库，推断主机系统。
扫描结果精准识别出目标为Linux内核系统，同时列出全部开放端口与对应服务版本。在内网环境中无额外云防护干扰，Nmap的识别准确率可以达到很高水准。

3.2 Nmap脚本引擎检测Web WAF防护（任务2.8）

bash
sudo nmap -sV -p 80,443,8080,8081 --script=http-waf-detect zonetransfer.me
sudo nmap -sV -p 80,443 --script=http-waf-detect www.example.com


调用Nmap自带的 http-waf-detect 脚本，向Web端口发送带有攻击特征的请求载荷，通过返回报文差异判断是否存在Web防火墙：

1. zonetransfer.me：后端为Apache原生服务，未部署云端WAF；
2. example.com：识别出Cloudflare反向代理，判定存在云防护节点。

3.3 WAFW00f 专业防火墙指纹识别

WAFW00f是专门的WAF指纹识别工具，相比Nmap内置脚本，特征库更加完善。工具会批量发送不同类型的异常请求，根据响应码、响应头、页面返回内容进行指纹匹配，可以精准区分Cloudflare、开源WAF、厂商硬件防火墙，帮助我们判断目标站点的防护强度，规划后续是否可以直接进行注入、爆破等操作。

四、综合学习总结

4.1 标准测绘流程：先被动，后主动

被动信息收集作为前置工作，尽可能在不暴露自身的情况下搜集海量公开资产；在锁定关键IP与域名之后，再使用Nmap等工具进行主动探测，极大降低扫描行为带来的安全告警风险，这也是业内通用的渗透前置思路。

4.2 工具组合思维，扬长避短

- 轻量命令：whois、dig适合快速调取单一维度信息；
- 框架工具：Recon-ng适合规模化自动化测绘；
- 主动扫描：Nmap兼顾端口、系统、脚本探测，通用性最强；
- 专项工具：WAFW00f专攻防火墙识别，弥补通用工具精度不足的问题。

4.3 公网环境与内网环境的探测区别

在内网 192.168.X.0/24 网段中，没有云反向代理、CDN干扰，IP、端口、系统信息基本真实可靠；而公网大量站点接入Cloudflare等CDN服务，普通扫描只能拿到节点IP，想要获取源站地址，依旧需要依赖DNS、历史解析记录等被动情报手段。

4.4 合规红线提醒

所有主动端口扫描、载荷探测操作，仅允许在授权实训环境与自己拥有所有权的设备上进行。未经授权对公网服务器进行扫描探测，违反《网络安全法》相关条例，日常技术练习必须严守合规边界。

五、后续学习规划

现阶段已经掌握基础的情报搜集手段，后续计划深入学习：

1. 子域名爆破、目录爆破等暴力枚举类测绘方式；
2. 扫描流量伪装、速率控制，规避IDS、IPS设备的告警；
3. 结合SSL证书、历史备案、爬虫快照等更多维度的情报挖掘，搭建完整的个人信息收集工具链。