我挖SRC是怎么做信息收集的？

之前一直有小伙伴私信问我一般都是怎么做信息收集的，我一向回复地很简单，“就直接查子域啊”。说起来很简单，其实做起来也不难。我挖SRC时，是真的只收集子域，基本上不做端口扫描、文件泄漏或漏扫这些。

虽然刚入门的时候，我也很喜欢各种工具一把梭，特别是灯塔，把各种能选的选项都选上。

0x00 为什么不漏扫

喝不上汤

首先大家挖企业SRC大家都是奔着赚钱去的，对于一些通用工具可以扫出来的漏洞，基本上都已经被人交烂了，更何况还有大佬们自动化监控脚本和定时扫描、自动提交报告。

除非你有别人没有的POC或者非常牛逼的字典，那必须上工具。

src规范

不知道大家挖SRC时会不会先去看一下他们的安全规范，我建议是一定要去看一看，避免喜提“银手镯”，很多SRC是不允许使用工具对站点进行扫描的，只允许手工测试。

被风控

即使SRC没有要求不允许扫描，但是也非常容易被风控导致IP被封，甚至机器被封，换IP都解不了（别问我怎么知道的）。

0x01 我怎么收集子域

获取二级域名

直接获取

有一些SRC平台会直接列出所有授权范围内的二级域名，这种就比较简单，直接全部捞下来即可。

企业信息搜索

还有部分SRC不会列出来，可能只会说明有哪些业务，这时候就需要自己去找了，我一般使用两种方式：

• 企某查之类的平台，直接搜索，然后拿到相关业务的二级域名

• 百度直接搜索业务名称，获取对应的二级域名

收集子域

子域收集的工具有很多，我现在一般只用2个工具组合，OneForAll + Ehole。

下面这两个操作可以使用脚本自动化，不用手动跑完一个再跑再一个。

OneForAll

为什么要用OneForAll？我之前其实也用过灯塔，但是它的支持的接入的API比较少，而OneForAll可以配置大量的API（如果你用OneForAll，一定要将能配的API全部配上，才能发挥它的价值）。

我一般先将收集到的所有二级域名用OneForAll跑一遍，获取到所有的子域名。

Ehole

Ehole用来做二次筛选，将OneForAll获取到的子域名扔到Ehole再跑一遍。它的主要作用是指纹识别，标记重点资产，这样可以方便后面优先处理可能存在问题的资产。

0x02 最后

基本上就是这样啦，我信息收集其实做得比较简陋，如果是红队那肯定就不是这么搞啦。但是因为主挖SRC嘛，所以基本上也就够了。

拿到子域后，就一个一个去看咯，还有要善用Chrome插件，批量的打开资产，优先寻找功能点多的站点、能登录的进行测试。最后大家有啥问题也可以评论区讨论交流哦。

---

欢迎关注我的公众号“混入安全圈的程序猿”，更多原创文章第一时间推送