1、信息收集第一位：首先是目标全部的一级域名（往往不同业务对应不同的主域名），再根据不同的域名收集子域名，这样做的目的是尽可能的将目标扩大化。广撒网，好捕鱼

2、对于收集来的域名，可以进行简单的扫描。如常见POC、文件泄露扫描、指纹识别。动作小，收货不一定小

3、根据上面收集到的泄露的文件、常见的框架（spring boot、CMS等等），进行针对性的分析

4、对于一些系统集中在某些C段，也可以对C段的系统做一下扫描。往往能找到防护不太好的测试系统，一样可以进去

5、后面就是后渗透了