信息搜集实战手册：域名IP端口与CDN绕过的8项核心要领

重要提醒：本文仅用于网络安全学习和合法的测试，严禁对未授权的目标进行操作，一定要遵守《网络安全法》，守住合法合规的底线。

01 前言

信息搜集，是所有攻防行动的第一步，也是最关键的一步——相当于“踩点”。踩得越细，后面的路径就越清晰。

这篇文章不讲虚的，也抛开玄学。全是能直接复制、立马动手尝试的思路、工具和命令。新手把它当快速入门指南，老手当查漏补缺手册，无论是挖洞还是护网，直接对着操练就够了。

02 搜集范围

先把这6类核心信息抓准，别漏了关键资产：

• 域名体系：主域名（如 baidu.com）、子域名（如 news.baidu.com）、备案域名、与目标强相关的关联域名。
• IP 信息：服务器真实IP、同C段IP、历史解析过的IP。
• 网站指纹：站点用的 CMS（如 WordPress）、中间件（如 Nginx）、后端语言与框架。
• 端口服务：服务器开了哪些端口、端口后面对应的是什么服务、容易出现弱口令的高危端口。
• 敏感信息：后台入口、各类备份文件、配置文件、日志、API 接口。
• 扩展资产：目标旗下的小程序、APP、外包合作商、子公司。

把这些信息搜齐了，后续的思路自然就打开了。

03 域名与备案查询

1. Whois域名信息查询

• 命令行（可直接复制执行）：whois 域名（例如 whois baidu.com，就能查到域名的注册信息）。
• 在线平台：阿里云Whois、站长之家Whois、爱站Whois。
• 能查什么：注册人、联系邮箱、DNS服务器、过期时间、注册商——相当于域名的“身份证”信息。

2. ICP备案查询

通过备案信息，可以一次性揪出“同一主体”下的所有网站，快速把攻击面铺开。

• 官方平台：工信部ICP备案查询（beian.miit.gov.cn）。
• 第三方工具：天眼查、企查查。它们不仅能查备案，还能通过股权穿透去摸清目标的子公司资产。
• 便捷工具：站长备案查询、爱站备案查询。

3. 子域名搜集

主站防护通常都很严密，但子站就不同了。许多子域名是测试系统、老旧应用，常出现弱口令等低级问题。

✅ 工具推荐

• OneForAll：综合能力最强，支持自动去重和批量挖掘，能省不少手动操作。
• wydomain / dnsburte：依赖字典去爆破子域名，适合批量扫描，思路简单直接。
• Layer 子域名挖掘机：上手门槛最低，简单粗暴，新手友好。
• Maltego：能把资产变成可视化关联图谱，方便你梳理域名和资产之间的脉络。

✅ 在线平台

• crt.sh（必用！）：透过证书透明度日志批量搜出子域名，效率极高，对新手也很友好。
• 站长子域名查询、dnsdumpster：操作简单，适合用来快速补全遗漏的资产。
• censys、zoomeye、fofa：能批量筛选出存活的子域名，不用自己一个个去验证。

04 真实IP与CDN绕开

很多网站会挂上 CDN（相当于给服务器套了一层“防护壳”），拿不到真实IP就难以进行后续操作。这一步是攻防的关键分水岭，必须拿下。

1. CDN快速判断方法

• 多地Ping：打开 ping.chinaz.com 或 ip138.com，测一下不同地域访问该域名的IP。如果IP不一样，基本可以确定前面挡着 CDN。
• 命令判断：在命令行执行 nslookup 或 dig + 域名，如果返回结果里有多个不同的IP，也大概率是 CDN 在“作怪”。

2. 10种获取真实IP的方法

1. 子域名/分站IP：查一下子域名（如 dev.a.com、admin.a.com）的A记录。很多子域名并没有配置 CDN，拿到的IP极可能就是源站IP。不过也得留心，有些子域名会和主站共用一套 CDN。
2. 历史DNS解析记录：去微步在线、SecurityTrails、DNSdumpster 这类平台，查域名历史上解析过的IP。如果目标曾经有过一段“裸奔”期，或正处在 CDN 刚切换的当口，历史记录里可能还留着真实IP。
3. SSL证书关联域名反查：在 crt.sh、爱站等平台，通过证书序列号或哈希查找与目标域名使用同一张 SSL 证书的其他域名（通常是子域名或关联域名），再去解析这些域名。如果其中某个没挂 CDN，那它的IP极可能就是源站的真实IP。注意：这需要“找关联域名 + 解析域名”两步走，证书本身并不直接包含IP。
4. phpinfo页面泄露：万一目标站点存在暴露的 phpinfo.php，里面的 $_SERVER['SERVER_ADDR'] 或 SERVER_ADDR 字段会直接把服务器真实IP摆在你面前。这法子虽准，但属于严重的配置漏洞，现在几乎很少碰到。
5. 从CDN未覆盖区域访问：用位于 CDN 服务商没有部署节点的地区的服务器或工具去访问域名（比如某 CDN 节点全在国内，那就用一台海外 VPS）。这时请求可能直接回源到真实服务器。
6. Favicon 哈希搜索：给网站 favicon.ico 算一个 mmh3 哈希值，然后拿去 Shodan、Fofa、ZoomEye 这类空间搜索引擎里搜。由于 CDN 通常不会改网站图标，就能定位到使用同一图标的源站服务器。多站同图标时会有些干扰，需要人工再筛一遍。
7. 邮件服务器MX记录：查域名的 MX 记录找到邮件服务器IP。邮件服务器一般不加 CDN，但这个IP是邮件服务器的，很可能和 Web 服务器不在同一台机器甚至同一网段。可以把它当作辅助线索，比如扫一扫它的同C段。
8. C段扫描 + 特征过滤：拿到域名当前解析的任意IP（哪怕是 CDN 节点IP），扫它所在的 /24 网段，再通过 HTTP 响应头、页面标题、SSL证书指纹等特征去和原站比对，可能捞到同网段内的源站IP。云厂商的C段里混杂大量无关主机，过滤起来得花点力气。
9. 自动化绕过工具：用 fuckcdn、w8fuckcdn 这类工具，它们已经集成了子域名、历史记录、证书关联等多种方法，一键省心。
10. 威胁情报平台反查：到微步在线、360威胁情报平台、VirusTotal 上输入域名，查看它关联过哪些IP。这些平台会聚合历史解析、样本通信、证书日志等数据，偶尔会直接给出源站IP。只不过平台数据可能有滞后或误报，最好交叉验证一下。

05 端口与服务探测

端口相当于服务器的“门”，不同的门通着不同的服务。只要有一扇门存在弱口令之类的漏洞，通往服务器的路可能就直接打通了。

1. 本机端口查看方法

• Windows系统：命令行执行 netstat -anbo，可以列出本机所有开放端口及其对应的进程。
• Linux系统：命令行执行 netstat -pantu，能看到端口、关联进程和连接状态。

2. 目标端口扫描工具与命令

• nmap（必学全能工具）
  • nmap -sV --script=banner IP：扫描目标IP的端口、服务版本及 Banner 信息，快速摸清底细。
  • nmap -Pn -p- IP：全端口扫描，忽略Ping检测，减少被目标发现的风险。
• masscan：扫描速度极快，特别适合对大网段的端口进行高速摸底。
• 在线工具：站长端口扫描、chinaz端口查询，不用装软件，打开网页输入IP就能扫，入门足够用了。

3. 常见高危端口汇总

22（SSH，易出现弱口令）、23（Telnet，安全性低）、80/443（Web网站入口）、8080（备用Web端口，常被忽视）、3389（RDP，弱口令重灾区）、5900（VNC）、3306（MySQL数据库）、6379（Redis，常见未授权访问）。

06 Web指纹识别技巧

知道网站是用什么造的，才能有的放矢地找出对应漏洞（比如是 WordPress 还是 ThinkPHP，路子完全不一样）。

✅ 在线工具

• 云悉Web指纹：识别精度不错，还支持批量识别，适合一次处理一堆目标。

✅ 命令工具

• whatweb：简单直接。命令行输入 whatweb 目标URL，网站指纹一目了然。
• CMSmap、cmsprint、vulnx：专门做 CMS 识别，还能顺带检测已知漏洞，更具针对性。

✅ 常见识别点

• 响应头Server字段：打开浏览器F12，看响应头里的 Server 项，常直接显示 Nginx、Apache、Tomcat 等。
• Cookie名称：如 ThinkPHPSESSID 对应 ThinkPHP 框架，PHPSESSID 意味着底层是PHP。
• HTML注释与JS文件：网页源码的注释里，有时会老实写着 Powered by WordPress 这类信息。
• 页面图标与目录结构：看到 /wp-admin 目录，八成是 WordPress；有 /discuz 目录，那就是 Discuz 系统。

07 目录扫描与敏感文件挖掘

相比于公开的前台页面，网站的后台、备份源码、数据库文件等处，由于管理疏漏，往往更容易暴出漏洞。配合几个简单的搜索语法，能快速定位这些敏感信息。从事 渗透测试 时，这一步往往能带来意想不到的突破。

✅ 工具推荐（按易用性排序）

• dirb、dirbuster：经典目录扫描工具，上手即用，能快速发掘隐藏目录。
• 7kbscan-WebPathBrute：能自动生成字典，扫描精准度高，降低漏报。
• Burp Suite主动爬虫：结合抓包去主动爬取，可以挖出更深的隐藏目录和API，适合进阶者。

✅ 重点关注文件类型

• 备份文件：bak、zip、rar、sql、tar.gz
• 配置文件：config、inc、env
• 后台目录：admin、manage、system、login
• 日志文件：log、txt
• 源码泄露：.git、.svn、.ds_store

✅ Google Hacking常用语法

• site:xxx.com inurl:admin：快速找到后台登录入口。
• intitle:后台管理 site:xxx.com：通过标题特征定位后台。
• filetype:bak sql zip site:xxx.com：搜目标站点上的备份文件。
• intext:password token key site:xxx.com：搜网站里包含密码、密钥等敏感文本的内容。

08 网络空间测绘平台使用

不用逐个手动查找资产，借助这些平台，可以直接搜索全网里匹配的目标资产，效率直接翻倍。

✅ 核心平台（新手可先从FOFA入手）

• FOFA：Web资产多，搜索语法直观，性价比高，入门友好。
• ZoomEye 钟馗之眼：不止Web资产，IoT设备、服务器也能搜到，范围广。
• Shodan：全球设备搜索引擎，能找到大量特殊设备（如摄像头、工控设备），适合深度玩家。
• Censys：证书和IP资产很全，识别精度高，定位精准。

✅ 常用搜索示例（可直接套用）

• title="登录" && country="CN"：搜索国内所有带登录页面的网站。
• server="Tomcat/7.0"：搜索所有使用 Tomcat 7.0 版本的站点，这类站点通常关联着已知漏洞。
• icp_name="xxx公司"：通过备案单位名称，一网打尽该公司名下所有资产。

09 通用实战流程

不管是挖漏洞、参加护网还是做常规的 渗透测试，按下面这个步骤走，可以高效推进，避免遗漏，新手也能快速上手：

1. 输入目标主域名 → 查Whois和ICP备案，理出同一主体的全部关联域名。
2. 批量挖掘子域名 → 去重、筛选出能正常访问的站点。
3. 判断CDN并尝试绕过 → 尝试获取服务器真实IP。
4. 对真实IP进行端口扫描和Banner识别 → 摸清服务器上跑了哪些服务。
5. 识别网站指纹 → 确定CMS、中间件及版本，关联已知漏洞库。
6. 进行目录扫描 → 寻找后台、备份文件、上传接口等敏感入口。
7. 利用空间测绘平台 → 补充梳理C段和关联资产，进一步扩大信息面。
8. 整理所有资产清单 → 进入漏洞探测阶段，开始寻找能利用的薄弱点。

文章内容主要整合自无痕安全实验室，已做深度优化与重构。