target-profiling

---
name: target-profiling
description: "目标全景画像与攻击面分析。当需要系统性整理目标资产、生成结构化目标档案、或在多人协作渗透中需要共享目标信息时使用。侧重于分析和报告，而非扫描本身。适合在 recon-full 之后对数据进行深度分析"
metadata:
  tags: "recon,profiling,fingerprint,port,画像,档案,资产分析,攻击面评估"
  category: "recon"
---

# 目标全景画像方法论

本技能与 `recon-full`（主动扫描）互补：recon-full 负责「发现」，target-profiling 负责「分析和整理」。如果还没做侦察，先执行 recon-full。

## Phase 1: 数据汇总
用 `evidence_list`（按类型筛选资产记录）和 `list_vulns` 获取已有的侦察数据。如果数据不足，补充执行：
- `subfinder -d domain` / `ksubdomain -d domain` — 子域名
- `naabu -host target` — 端口（nmap 作为备选）
- `httpx -u target -tech-detect` / `curl -sI target` — 指纹

## Phase 2: 攻击面分析

### 2.1 技术栈分布
统计目标使用的技术栈，识别统一管理的和独立部署的系统：
- 统一框架（如全站 Spring Boot）→ 一个漏洞可能影响所有系统
- 混合技术栈 → 各系统独立评估

### 2.2 暴露面评估
按风险等级分类已发现的服务：

**极高风险**（应优先攻击）：
- 管理后台（admin/manager/console）
- 开发/测试环境（dev/staging/test）
- 暴露的数据库端口（3306/5432/6379/27017）
- CI/CD 系统（Jenkins/GitLab/Harbor）

**高风险**：
- 带已知漏洞的组件（旧版 Spring/Struts/Log4j）
- 认证页面（可能存在弱密码/默认凭据）
- API 端点（可能缺少认证）

**中风险**：
- 标准 Web 应用（需要进一步手动测试）
- 邮件/VPN 入口（社工攻击入口）

**低风险**：
- CDN/静态资源
- 纯展示型网站

### 2.3 网络拓扑推断
从子域名和 IP 分布推断网络结构：
- 同一 IP 段 → 可能同一机房/VPC
- CDN 后的真实 IP → 可能绕过 WAF
- 内外网混部 → 横向移动的潜在路径

## Phase 3: 输出目标档案

生成结构化报告，包含：
1. **资产清单**：域名/IP/端口/服务/版本
2. **技术栈总览**：框架/中间件/CMS 分布
3. **攻击优先级**：按风险等级排序的攻击目标列表
4. **推荐攻击路径**：基于发现的信息，建议 2-3 条最有可能成功的攻击路径
5. **信息缺口**：还需要进一步侦察的方面

## 网络拓扑推断
- 子网分析：10.0.1.x 可能是 Web 段（同一子网的 Web 服务器），10.0.2.x 可能是数据库段（不同子网，有网络隔离）

## 信息缺口识别
- 子域名来源单一：缺 OSINT、缺爬虫，覆盖不足
- 端口不全：默认 Top 1000 端口不够，需要全端口（65535）扫描
- 非标准端口（30000+）高端口可能隐藏服务