target-profiling

$npx mdskill add wgpsec/AboutSecurity/target-profiling

Synthesize reconnaissance data into prioritized attack paths.

  • Transforms scattered scan results into structured asset profiles.
  • Integrates with subfinder, naabu, httpx, and evidence_list.
  • Ranks targets by risk level and identifies missing intelligence.
  • Outputs a prioritized list of attack vectors and gaps.
SKILL.md
.github/skills/target-profilingView on GitHub ↗
---
name: target-profiling
description: "目标全景画像与攻击面分析。当需要系统性整理目标资产、生成结构化目标档案、或在多人协作渗透中需要共享目标信息时使用。侧重于分析和报告,而非扫描本身。适合在 recon-full 之后对数据进行深度分析"
metadata:
  tags: "recon,profiling,fingerprint,port,画像,档案,资产分析,攻击面评估"
  category: "recon"
---

# 目标全景画像方法论

本技能与 `recon-full`(主动扫描)互补:recon-full 负责「发现」,target-profiling 负责「分析和整理」。如果还没做侦察,先执行 recon-full。

## Phase 1: 数据汇总
用 `evidence_list`(按类型筛选资产记录)和 `list_vulns` 获取已有的侦察数据。如果数据不足,补充执行:
- `subfinder -d domain` / `ksubdomain -d domain` — 子域名
- `naabu -host target` — 端口(nmap 作为备选)
- `httpx -u target -tech-detect` / `curl -sI target` — 指纹

## Phase 2: 攻击面分析

### 2.1 技术栈分布
统计目标使用的技术栈,识别统一管理的和独立部署的系统:
- 统一框架(如全站 Spring Boot)→ 一个漏洞可能影响所有系统
- 混合技术栈 → 各系统独立评估

### 2.2 暴露面评估
按风险等级分类已发现的服务:

**极高风险**(应优先攻击):
- 管理后台(admin/manager/console)
- 开发/测试环境(dev/staging/test)
- 暴露的数据库端口(3306/5432/6379/27017)
- CI/CD 系统(Jenkins/GitLab/Harbor)

**高风险**:
- 带已知漏洞的组件(旧版 Spring/Struts/Log4j)
- 认证页面(可能存在弱密码/默认凭据)
- API 端点(可能缺少认证)

**中风险**:
- 标准 Web 应用(需要进一步手动测试)
- 邮件/VPN 入口(社工攻击入口)

**低风险**:
- CDN/静态资源
- 纯展示型网站

### 2.3 网络拓扑推断
从子域名和 IP 分布推断网络结构:
- 同一 IP 段 → 可能同一机房/VPC
- CDN 后的真实 IP → 可能绕过 WAF
- 内外网混部 → 横向移动的潜在路径

## Phase 3: 输出目标档案

生成结构化报告,包含:
1. **资产清单**:域名/IP/端口/服务/版本
2. **技术栈总览**:框架/中间件/CMS 分布
3. **攻击优先级**:按风险等级排序的攻击目标列表
4. **推荐攻击路径**:基于发现的信息,建议 2-3 条最有可能成功的攻击路径
5. **信息缺口**:还需要进一步侦察的方面

## 网络拓扑推断
- 子网分析:10.0.1.x 可能是 Web 段(同一子网的 Web 服务器),10.0.2.x 可能是数据库段(不同子网,有网络隔离)

## 信息缺口识别
- 子域名来源单一:缺 OSINT、缺爬虫,覆盖不足
- 端口不全:默认 Top 1000 端口不够,需要全端口(65535)扫描
- 非标准端口(30000+)高端口可能隐藏服务
More from wgpsec/AboutSecurity