在Web滲透測(cè)試培訓(xùn)中，信息收集是滲透測(cè)試流程的首要環(huán)節(jié)，也是決定后續(xù)測(cè)試成敗的關(guān)鍵。當(dāng)測(cè)試目標(biāo)為CMS（內(nèi)容管理系統(tǒng)）系統(tǒng)時(shí)，由于其廣泛的應(yīng)用和相對(duì)標(biāo)準(zhǔn)化的架構(gòu)，信息收集具有獨(dú)特的側(cè)重點(diǎn)和方法。本文將系統(tǒng)性地介紹針對(duì)CMS系統(tǒng)的信息收集流程、工具與技巧，旨在為安全從業(yè)者提供一套可操作的實(shí)踐指南。

一、明確信息收集的目標(biāo)

針對(duì)CMS滲透測(cè)試，信息收集的核心目標(biāo)是：

1. 確認(rèn)CMS類型與版本：精確識(shí)別目標(biāo)使用的CMS（如WordPress、Joomla!、Drupal等）及其具體版本號(hào)。
2. 發(fā)現(xiàn)關(guān)聯(lián)資產(chǎn)：找出與主站相關(guān)的子域名、目錄、服務(wù)器、第三方服務(wù)等。
3. 探測(cè)技術(shù)棧：了解服務(wù)器操作系統(tǒng)、Web服務(wù)器軟件（如Apache、Nginx）、編程語言（如PHP）及數(shù)據(jù)庫（如MySQL）等信息。
4. 枚舉暴露信息：收集公開可用的后臺(tái)地址、用戶賬號(hào)、API接口、文件路徑、插件/主題信息等。
5. 分析安全狀況：初步判斷是否存在已知漏洞、配置錯(cuò)誤或信息泄露風(fēng)險(xiǎn)。

二、核心信息收集方法與步驟

1. 被動(dòng)信息收集（非接觸式）

在不與目標(biāo)系統(tǒng)直接交互的情況下，從公開來源獲取信息。

• 搜索引擎技巧：
• 使用Google Hacking語法，如：site:target.com inurl:wp-admin 查找WordPress后臺(tái)，site:target.com filetype:pdf 尋找可能泄露的文檔。

• 搜索特定CMS的默認(rèn)文件或目錄，如 /wp-content/uploads/ (WordPress)、/administrator/ (Joomla!)。

• 公開情報(bào)源（OSINT）：
• 利用DNS記錄查詢工具（如dig, nslookup）查找子域名和IP信息。

• 通過WHOIS查詢獲取域名注冊(cè)信息。

• 使用威脅情報(bào)平臺(tái)（如Shodan, Censys）搜索IP、端口及服務(wù)指紋。搜索語法如 product:"WordPress"。

• 查看代碼倉庫（如GitHub）是否意外泄露了含有CMS配置、密鑰的源代碼。

• 網(wǎng)絡(luò)空間測(cè)繪：
• 利用Fofa、ZoomEye等平臺(tái)，通過特征搜索（如body="wp-content" 或 header="X-Powered-By: Drupal"）批量發(fā)現(xiàn)使用同款CMS的資產(chǎn)。

2. 主動(dòng)信息收集（接觸式）

通過與目標(biāo)系統(tǒng)直接交互來探測(cè)信息。

• 指紋識(shí)別：
• HTTP響應(yīng)頭分析：檢查Server、X-Powered-By、Set-Cookie等字段，CMS常在此留下痕跡。

• 文件與目錄掃描：

• 訪問默認(rèn)安裝文件，如 /readme.html (WordPress)、/CHANGELOG.txt (Drupal)。

• 使用工具（如dirb, gobuster, dirsearch）進(jìn)行目錄爆破，尋找后臺(tái) (/admin, /wp-admin)、配置文件 (wp-config.php)、安裝目錄、備份文件 (.bak, .tar.gz)等。

• 使用自動(dòng)化工具：Wappalyzer（瀏覽器插件）、WhatWeb、CMSeek等能快速識(shí)別CMS及其組件版本。

• 版本精確識(shí)別：
• 查看CSS/JS文件鏈接中的版本號(hào)。

• 訪問CMS特定的版本信息文件或通過RSS feed中的生成器標(biāo)簽判斷。

• 使用漏洞庫（如Exploit-DB, CVE Details）或CMS官方發(fā)布日志，比對(duì)已知版本特征。

• 插件/主題/模塊枚舉：
• 這是CMS安全的重災(zāi)區(qū)。通過掃描/wp-content/plugins/、/modules/等目錄結(jié)構(gòu)，列出所有已安裝的擴(kuò)展。

• 訪問插件/主題的readme.txt或changelog文件獲取版本。

• 使用專門掃描器（如WPScan for WordPress, Droopescan for Drupal）進(jìn)行自動(dòng)化枚舉和漏洞檢查。

• 用戶與后臺(tái)發(fā)現(xiàn)：
• 嘗試默認(rèn)后臺(tái)路徑。

• 通過作者頁面、文章RSS、REST API端點(diǎn)（如WordPress的/wp-json/wp/v2/users）或登錄頁面的錯(cuò)誤信息枚舉用戶名。

• 服務(wù)器與配置信息探測(cè)：
• 發(fā)送精心構(gòu)造的或異常的HTTP請(qǐng)求，觀察錯(cuò)誤信息（如PHP錯(cuò)誤）是否泄露路徑、數(shù)據(jù)庫類型等信息。

• 使用nmap進(jìn)行端口掃描，識(shí)別開放服務(wù)。

三、工具鏈推薦

• 綜合偵察：Maltego, theHarvester, Recon-ng。
• 子域名發(fā)現(xiàn)：subfinder, amass, Sublist3r。
• 目錄/文件爆破：dirsearch, ffuf, gobuster。
• CMS專項(xiàng)掃描：WPScan (WordPress), JoomScan (Joomla!), Droopescan (Drupal), CMSmap。
• 指紋識(shí)別：Wappalyzer, WhatWeb, BuiltWith。
• 漏洞搜索：SearchSploit, Nuclei (含大量CMS檢測(cè)模板)。

四、注意事項(xiàng)與最佳實(shí)踐

1. 授權(quán)優(yōu)先：確保所有測(cè)試活動(dòng)均在獲得明確書面授權(quán)的范圍內(nèi)進(jìn)行。
2. 記錄詳盡：對(duì)每一個(gè)發(fā)現(xiàn)、使用的命令、工具輸出和來源URL進(jìn)行完整記錄，形成清晰的證據(jù)鏈。
3. 控制影響：主動(dòng)探測(cè)時(shí)，注意流量速率，避免對(duì)目標(biāo)服務(wù)造成拒絕服務(wù)（DoS）影響。
4. 信息關(guān)聯(lián)：將被動(dòng)與主動(dòng)收集的信息進(jìn)行交叉驗(yàn)證和關(guān)聯(lián)分析，提高準(zhǔn)確性。
5. 持續(xù)更新：CMS、插件和掃描工具迭代迅速，需要持續(xù)關(guān)注新的指紋特征、漏洞和檢測(cè)方法。

###

對(duì)CMS系統(tǒng)的信息收集是一項(xiàng)系統(tǒng)化、精細(xì)化的工程。通過結(jié)合被動(dòng)與主動(dòng)方法，綜合利用多種工具，測(cè)試人員可以高效、全面地繪制出目標(biāo)的攻擊面地圖。扎實(shí)的信息收集不僅能直接發(fā)現(xiàn)可利用的安全漏洞，更能為后續(xù)的漏洞利用、權(quán)限提升和橫向移動(dòng)奠定堅(jiān)實(shí)基礎(chǔ)，是每一位Web滲透測(cè)試人員必須精通的核心技能。在培訓(xùn)中，應(yīng)通過大量的實(shí)操演練，使學(xué)員熟練掌握針對(duì)不同CMS的“偵查”藝術(shù)。