wgpsec/target-profiling

目标全景画像方法论

本技能与 recon-full（主动扫描）互补：recon-full 负责「发现」，target-profiling 负责「分析和整理」。如果还没做侦察，先执行 recon-full。

Phase 1: 数据汇总

用 evidence_list（按类型筛选资产记录）和 list_vulns 获取已有的侦察数据。如果数据不足，补充执行：

• subfinder -d domain / ksubdomain -d domain — 子域名
• naabu -host target — 端口（nmap 作为备选）
• httpx -u target -tech-detect / curl -sI target — 指纹

Phase 2: 攻击面分析

2.1 技术栈分布

统计目标使用的技术栈，识别统一管理的和独立部署的系统：

• 统一框架（如全站 Spring Boot）→ 一个漏洞可能影响所有系统
• 混合技术栈 → 各系统独立评估

2.2 暴露面评估

按风险等级分类已发现的服务：

极高风险（应优先攻击）：

• 管理后台（admin/manager/console）
• 开发/测试环境（dev/staging/test）
• 暴露的数据库端口（3306/5432/6379/27017）
• CI/CD 系统（Jenkins/GitLab/Harbor）

高风险：

• 带已知漏洞的组件（旧版 Spring/Struts/Log4j）
• 认证页面（可能存在弱密码/默认凭据）
• API 端点（可能缺少认证）

中风险：

• 标准 Web 应用（需要进一步手动测试）
• 邮件/VPN 入口（社工攻击入口）

低风险：

• CDN/静态资源
• 纯展示型网站

2.3 网络拓扑推断

从子域名和 IP 分布推断网络结构：

• 同一 IP 段 → 可能同一机房/VPC
• CDN 后的真实 IP → 可能绕过 WAF
• 内外网混部 → 横向移动的潜在路径

Phase 3: 输出目标档案

生成结构化报告，包含：

1. 资产清单：域名/IP/端口/服务/版本
2. 技术栈总览：框架/中间件/CMS 分布
3. 攻击优先级：按风险等级排序的攻击目标列表
4. 推荐攻击路径：基于发现的信息，建议 2-3 条最有可能成功的攻击路径
5. 信息缺口：还需要进一步侦察的方面

网络拓扑推断

• 子网分析：10.0.1.x 可能是 Web 段（同一子网的 Web 服务器），10.0.2.x 可能是数据库段（不同子网，有网络隔离）

信息缺口识别

• 子域名来源单一：缺 OSINT、缺爬虫，覆盖不足
• 端口不全：默认 Top 1000 端口不够，需要全端口（65535）扫描
• 非标准端口（30000+）高端口可能隐藏服务