CTF实战：Web信息收集的10个黄金法则与工具链

刚完成CTFshow Web1-20系列挑战时，我意识到信息收集的质量直接决定解题效率。不同于常规的逐题解析，这里将分享经过实战验证的系统性方法——这些技巧不仅能用于CTF竞赛，在合法授权的渗透测试中同样适用。

1. 源码审计的三重境界

浏览器开发者工具（F12）是基础中的基础，但90%的新手只停留在"Elements"标签页。进阶操作包括：

• DOM断点调试：在Sources面板对特定元素设置DOM修改断点
• 全局搜索：使用Ctrl+Shift+F跨文件搜索关键词（如flag、password）
• 本地存储检查：Application标签页查看Cookie、LocalStorage等存储数据

bash复制# 快速获取页面源码的curl命令
curl -s http://example.com | grep -i "flag\|comment"

注意：禁用右键的页面通常通过oncontextmenu事件实现，可用以下代码绕过：

javascript复制document.oncontextmenu = null;

2. 隐藏文件与目录探测实战

敏感文件泄露在真实漏洞中占比高达34%（据HackerOne 2023报告）。必备检查清单：

推荐工具组合：

python复制# 自动化探测脚本示例
import requests
from concurrent.futures import ThreadPoolExecutor

def check_path(url, path):
    try:
        r = requests.get(f"{url}/{path}", timeout=3)
        if r.status_code == 200:
            print(f"[+] Found: {path}")
    except:
        pass

common_paths = ['.git', 'robots.txt', 'backup.zip']
with ThreadPoolExecutor(10) as executor:
    [executor.submit(check_path, target_url, p) for p in common_paths]

3. HTTP头部的秘密花园

响应头常包含关键线索，重点关注这些字段：

• Server：Apache/2.4.29 → 提示版本漏洞
• X-Powered-By：PHP/7.2.1 → 语言环境信息
• Set-Cookie：可能泄露会话机制
• WWW-Authenticate：暴露认证方式

使用Burp Suite的Repeater模块时，建议添加这些头部：

http复制GET / HTTP/1.1
Host: example.com
X-Forwarded-For: 127.0.0.1
User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1)

4. 自动化扫描的艺术

手工测试效率有限，智能工具组合能提升10倍效率：

1. 初始扫描：使用Nikto进行快速安全评估

   bash复制nikto -h http://target.com -output nikto_scan.html
   

2. 深度爬取：OWASP ZAP的主动扫描模式

3. 敏感文件发现：定制化字典的Dirsearch

   bash复制python3 dirsearch.py -u http://target.com -e php,js,bak -w custom.txt
   

专业提示：调整--delay参数避免触发WAF，企业级目标建议设置为300ms以上

5. 元数据挖掘技巧

通过文件元数据可能发现：

• 创建者姓名（如admin）
• 内部服务器路径
• 修改时间线

ExifTool经典用法：

bash复制exiftool -a -u -g1 image.jpg  # 查看图片元数据
pdfinfo document.pdf          # 提取PDF信息

真实案例：某次CTF中，通过PNG图片的Photoshop元数据发现内网IP段

6. 第三方信息关联分析

当直接渗透受阻时，尝试：

• DNS历史记录：SecurityTrails查看子域名变更
• GitHub搜索：site:github.com "target.com" password
• Wayback Machine：查看历史页面快照

推荐信息聚合工具：

python复制# 使用API查询子域名
import shodan
api = shodan.Shodan('API_KEY')
results = api.search(f'hostname:*.target.com')

7. 非常规入口点突破

超越常规Web路径的检查点：

• 跨端口服务：8443,8081等非标准HTTP端口
• API文档：/swagger-ui.html /redoc
• 临时文件：/uploads/2023*.tmp
• 错误页面：故意触发500错误可能泄露路径

使用Nmap进行服务发现：

bash复制nmap -sV --script=http-enum target.com -p 80,443,8000-9000

8. 前端代码深度审计

现代Web应用常见漏洞模式：

1. 硬编码凭证：

   javascript复制// 反例
   const API_KEY = 'sk_live_1234567890'; 
   

2. 调试接口：

   javascript复制fetch('/internal/api/users')
     .then(res => res.json())
   

3. 加密参数逆向：

   python复制# 使用Python调用前端加密逻辑
   from py_mini_racer import MiniRacer
   ctx = MiniRacer()
   ctx.eval(open('crypto.js').read())
   ctx.call('encrypt', 'payload')
   

9. 社会工程学信息收集

技术手段失效时的备选方案：

• 邮箱格式测试：admin@target.com → 可能对应登录账号
• 密码策略分析：注册功能暴露的复杂度要求
• 员工信息挖掘：LinkedIn上的技术栈讨论

实用技巧：在登录页面尝试?debug=true参数，可能开启调试模式

10. 构建个性化工具库

高效选手的装备清单：

• 浏览器插件：

  • Wappalyzer（技术栈识别）
  • HackTools（综合套件）
  • EditThisCookie（会话管理）

• 本地脚本：

  bash复制# 快速检查HTTP头
  alias checkheaders="curl -I -s http://\$1 | grep -iE 'server|x-powered'"
  

• 自定义字典：

  text复制# 备份文件字典
  backup_2023.zip
  v2.1.3.tar.gz
  prod.sql.bak
  

在最近一次企业授权测试中，通过组合使用.git泄露扫描和GitHack工具，我们成功还原了完整的源代码树，最终在config.php中发现数据库凭证。这种系统化的信息收集方法，远比随机猜测高效得多。