仅为抛砖引玉，各位大佬勿喷

先来聊聊啥是红队打点，个人理解是：打点就是从0到1，是撕开口子的过程，和常规安服的渗透测试不同，安服的渗透测试限制得比较死，可能是给你个准备上线的平台要求按漏洞点挖，也可能是把后台账号密码都交给你了让你去挖点漏洞啥的。这里讲的红队打点，是相对没那么限制，更像真正的黑客攻击行为，可能就给你个企业名称，要求你打进去，这时就需要更全面的信息收集，不是安服渗透或者等保渗透那种仅对一个点或者一个站来测，不允许测别的子域名或者网站IP的其他端口服务也不允许社工和钓鱼等一系列限制。

借用某位大佬说的一句话：渗透的本质就是信息收集

如何更高效更全面的信息收集成为了一场攻防演练中很关键的一环，毕竟不少攻防演练是重复漏洞提交是不算分或者分数递减，而蓝方单位的分值也是有上限的，我们需要在攻防演练一开始，就要尽量的做到第一个提交打进去的。

下面就分享一下个人一些个人习惯：

初始：1个官网（需要提前浏览了解业务、上下游）

优先被动信息收集，再主动信息收集（按顺序）：

1.官网的同一注册者下的其他域名，备案域名等（先收集主域名）

2.所有的主域名收集好后，收集其下的子域名

3.对所有的主域名+子域名，查询真实IP、历史解析记录IP（宁杀错不放过）

4.对所有的IP查询，再反查关联的域名（同一IP下的网站）

5.查询到新的域名可以再重复123步骤

6.对所有的IP扫描C段或者B段（有一定打歪的风险）

7.此时就拿到了很多新的IP，可以再用新的IP重复第4步

8.以此类推，将收集好的IP，全部扫端口服务

扫到服务后可以分类，例如web类，数据库类，其他服务等。。。

看个人爱好，可以先打web，也可以先打别的一眼有洞的服务。。。

上面会用到的工具（这里没啥使用顺序之说）：

1.爱站网、站长之家

2.企业查询网站

3.证书：crt.sh

4.网络搜索引擎（censys、zoomeye、fofa、shodaw、鹰图等）

5.威胁情报平台（ViusTotal、微步、VenusEye等）

6.谷歌语法（顺带用ext或者filetype可以看看捡漏一些xls、svn、git、sql、mdb等文件的泄露，如有有企业邮箱，可以用intext：@企业.com来搜集一些邮箱方便钓鱼）

7.在线指纹识别（云悉等）

8.找源码或者托管信息（GitHub、gitlab、码云、网盘等，部分无安全意识的开发或运维会把一些源码、计划任务爬虫等脚本放上去，有机会捡到一些key、账号密码等漏）

9.OSINT（把你收集到的和人相关的信息整理起来，例如邮箱、QQ、微信等联系方式，通过这些信息再延伸，例如上领英或脉脉搜集他们的同事的信息。。。方便钓鱼或者做针对性的密码爆破本）

【上面就是偏被动的信息收集，下面是偏主动的】

10.子域名（oneforall、subfinder、ksubdomain 等）

11.目录扫描（dirsearch、urlfinder、御剑 等）

12.C&B段端口（御剑、fscan、Nnmap、hping3 等）

13.指纹识别工具（whatweb、finger、Ehole等）

14.浏览器插件（findsomething、wappalyzer 等，可以做点指纹识别，识别文件目录路径）

15.翻js找接口漏洞（jsfinder 等）

16.Fuzz隐藏参数（arjun 等）

17.信息收集综合工具，可能还带有漏扫功能（nuclei、ARL灯塔、水泽、reNgine等）

18.各种组合用起来也挺顺手的工具，例如Eeyes棱眼（拿到大量域名后，获取其真实IP并整理成C段）；Ehole棱洞（重点系统指纹识别，OA、VPN、weblogic...拿到大量IP的时候用），可以和棱眼结合使用。

19.漏扫，部分漏扫也带信息收集功能（AWVS、goby、xray、poc-bomber 等）

粗略流程：

目标》被动信息搜集域名、子域名等资产》subfinder跑子域名》eeyes跑出对应的IP和C段》ehole指纹识别》 也可以对整个C段进行端口扫描。（基本信息搜集）

搞到一大批IP、域名、子域名后可以根据个人经验先通过指纹信息、网站标题等筛选出一眼有洞的先捡了，也直接批量扫目录扫未授权接口或者漏扫梭哈。

扫不出来就慢慢磨web，挨个看，可以用arjun来fuzz参数，或者jsfinder找js的接口漏洞。或者回到第一步信息搜集，关注GitHub/sgk等人员信息，或者打小程序APP等。不行就钓鱼、打供应链或者打子公司从下往上打，一般上面的信息收集步骤走完，多多少少会有点上下级的资产在里边。

个人能力不足，只能讲这么多了。

当然，手握大量0day进场那就不用那么麻烦，大佬们可以直接搞到大量资产的指纹后直接找对应的源码现场审给洞出来。

最后说一下，上面的思路方法和工具仅为个人习惯，这篇也是抛砖引玉文，欢迎各位大佬如果有更好的信息收集顺序、更好的思路和工具，欢迎私信交流学习共同进步。

这里也抛出一点疑问，工具这里各位师傅有没有做过对比，像子域名信息收集subfinder、oneforall、ksubdomain还是别的哪个更好，海量IP的端口扫描识别服务哪个更快误报更少，综合性工具像rengine、ARL灯塔还是别的哪个对服务器的性能消耗更少。欢迎各位师傅指导。