6.4.1 网络层 OPSEC#

• 选择”干净”出口：Tor / 商业 VPN / 跳板 VPS（建议二者叠加）
• 避免重复使用同一出口 IP 做不同任务（容易被聚合）
• 禁用 IPv6 泄露、WebRTC 泄露
• DNS：用 DoH / DoT，并锁定 resolver

6.4.2 浏览器指纹#

• TLS：JA3 / JA4 指纹
• HTTP：UA、Accept-Language、Headers 顺序
• Canvas / WebGL / Font 指纹
• 时区与语言要与”你的化身”一致

6.4.3 账号 / 凭据隔离#

• 一个化身（persona）= 独立邮箱 + 独立电话 + 独立支付 + 独立设备
• 设备：Whonix / Qubes / Tails 提供较好隔离
• 邮箱：ProtonMail / Tutanota；避免与现实身份共用密码或恢复邮箱

6.4.4 行为层#

• 工作时区不要与你真实生活时区高度一致
• 写作风格、错别字模式、emoji 偏好都可作为同一化身的指纹（stylometry）

6.4.5 工具层#

• 抓包 + 出口流量自检：Wireshark + mitmproxy
• 浏览器：Tor Browser / Mullvad Browser；隔离扩展
• 搜索：DuckDuckGo / Searx；不要登录 Google

6.5.1 域名 / 资产#

• WHOIS：whois example.com（注意 GDPR 后很多字段匿名化）
• ASN / CIDR：https://bgp.he.net/、whois -h whois.radb.net -- '-i origin AS15169'
• 证书透明度 (CT Logs)：https://crt.sh、https://censys.io/certificates
• DNS 历史：SecurityTrails、ViewDNS.info、DNSdumpster
• 被动 DNS：VirusTotal Passive DNS、PassiveTotal、Farsight DNSDB
• 互联网测绘：Shodan、Censys、ZoomEye、Fofa、Quake、Hunter
• Wayback Machine / Common Crawl：找历史接口、已下线但 DNS 仍指向的资产

6.5.2 子域枚举工具底层原理#

1
Merkle Tree:
2
         Root
3
        /    \
4
       /      \
5
    H(0,3)   H(4,5)
6
    / \      / \
7
  H(0)..   H(4) H(5)
8
  Leaf = SHA256(0x00 || cert)

1
# 被动
2
subfinder -d example.com -all -silent       > p1.txt
3
amass enum -passive -d example.com -silent  > p2.txt
4
curl -s "https://crt.sh/?q=%25.example.com&output=json" \
5
  | jq -r '.[].name_value' | tr ',' '\n' | sort -u > p3.txt
6
chaos -d example.com -silent                > p4.txt 2>/dev/null
7

8
# 字典爆破（主动，需授权）
9
puredns bruteforce best-dns-wordlist.txt example.com -r resolvers.txt -q > a1.txt
10

11
# 聚合 + 解析
12
cat p*.txt a*.txt | sort -u | dnsx -resp-only -silent > resolved.txt
13

14
# 存活
15
httpx -l resolved.txt -title -tech-detect -status-code -tls-grab -silent -o live.json

6.5.3 Google Dork / 搜索引擎语法#

Dork 数据库：Google Hacking Database（GHDB）https://www.exploit-db.com/google-hacking-database

1
site:example.com inurl:redirect= OR inurl:url= OR inurl:next=    # SSRF/Open redirect
2
site:example.com ext:env "DB_PASSWORD"                            # .env 泄露
3
intitle:"Apache Tomcat/" inurl:/manager/                          # Tomcat 后台
4
"index of" "parent directory" backup ext:sql
5
inurl:".git/HEAD" -github                                          # 暴露 .git
6
filetype:json "client_secret" site:github.com

6.5.4 代码 / 凭证泄露#

1
"AWS_ACCESS_KEY_ID" example.com
2
"BEGIN PRIVATE KEY" example.com
3
"client_secret" "example.com"
4
filename:.env example.com
5
filename:credentials extension:json AWS

6.5.5 人员 OSINT#

1
first.last@   (全名)
2
flast@        (首字母+姓)
3
first@        (单名)
4
last.f@       (反序)

6.5.6 文件 / 图像 OSINT#

1
exiftool photo.jpg
2
exiftool *.pdf | grep -E "Author|Producer|Path"
3

4
# 批量清除
5
exiftool -all= -overwrite_original photo.jpg

6.5.7 Shodan / Censys / FOFA / Quake 查询语法#

1
domain="example.com" && port="443"
2
title="后台管理" && country="CN"
3
body="Apache Struts" && protocol="https"
4
header="X-Powered-By: PHP" && status_code="200"
5
icon_hash="0123456789"
6
cert.is_valid=true && cert.is_match=true

1
services.tls.certificates.leaf_data.subject.common_name: example.com
2
services.http.response.headers.server: "nginx"
3
services.banner: "OpenSSH_8.2p1"
4
location.country: "CN" and services.port: 22

1
domain:"example.com"
2
favicon:"0123abc"
3
country_cn:"中国" && app:"WordPress"

6.5.8 暗网 OSINT#

• Tor 入口：Ahmia、Onion.ly（注意法律风险）
• 暗网商品 / 论坛监控（仅作威胁情报）
• 数据 dump 监控（CISO 级关心）

6.6.1 常用命令速查#

1
# 子域枚举 + 存活
2
subfinder -d target.com -silent | httpx -silent > live.txt
3

4
# Wayback / GAU 历史 URL
5
gau target.com | tee urls.txt
6
waybackurls target.com | anew urls.txt
7
katana -u https://target.com -jc -d 3 | anew urls.txt
8

9
# 常见敏感文件
10
ffuf -u https://target.com/FUZZ -w raft-large-files.txt -mc 200,302
11

12
# JS 文件里找接口 / 凭证
13
gau target.com | grep -E '\.js(\?|$)' | httpx -silent | while read u; do
14
  curl -s "$u" | grep -Eo '(api|token|key|secret|password)["=: ]+[^"]+' ;
15
done

6.6.2 推荐的轻量 “all-in-one” 工作流#

1
# reNgine / ProjectDiscovery 的 uncover + nuclei
2
uncover -q 'ssl:"target.com"' -silent | nuclei -t cves/ -severity high,critical

6.9.1 SolarWinds / SUNBURST (2020)#

虽然主链路是供应链投毒，但 APT29 在前期 OSINT 阶段已有大量准备：

• 通过 LinkedIn / GitHub 搜索 SolarWinds 内部技术栈
• 通过 NuGet / GitHub 找到 Orion 平台插件接口
• 提前注册 avsvmcloud[.]com 作为 C2 域，模仿合法子域命名
• 关注公司财报 / 客户列表，决定下游攻击优先级

6.9.2 APT29 对国家级邮件账号的钓鱼#

OSINT 阶段：

1. 公开新闻锁定目标人物（外交、政府）
2. LinkedIn / 履历找其邮箱命名
3. Pastebin / 旧 dump 找历史密码（撞库）
4. 通过 OAuth Device Flow / Modern Auth 绕过 MFA

6.9.3 APT41 对游戏行业供应链#

侦察重点：

• 游戏公司开发分支 → 找开发服 / Jenkins / GitLab 暴露面
• 工程师社交账号 → 钓鱼模板个性化
• 第三方 SDK 库 → 投毒入口

6.9.4 数据中介：Dark Reading 报道的 ShinyHunters#

通过对 AWS S3 / Azure Blob 的 OSINT 大规模索引，定期爬开放存储桶，分类倒卖。

6.10.1 Honeytoken 部署示例#

1
# 1. AWS canarytoken
2
# https://canarytokens.org/ → 生成 fake AWS key
3
# 把它放进一个看起来像生产仓库的私有 repo
4

5
# 2. 自托管 alerting
6
# CloudTrail 监控 GetCallerIdentity / ListUsers 调用
7
# 一旦看到非法 IP 用此 key → 立即告警 + Block

参考答案要点#

1. 见 §6.7 recon.py 模板。
2. curl -s "https://crt.sh/?q=%25.example.edu&output=json" | jq '[.[] | select(.entry_timestamp > "2025-01-01")] | length'
3. exiftool GPS → Google Maps 验证；缺 GPS 时使用太阳方位、植被类型、车牌前缀。
4. Tor Browser 默认禁用 JA3-leaking extension；tshark -Y ssl.handshake.type==1 -T fields -e tls.handshake.ciphersuites 比对。
5. from collections import Counter; H = -sum((c/len(s))*math.log2(c/len(s)) for c in Counter(s).values())，阈值 4.5。

6.14.1 reNgine#

开源 recon 平台：Web UI + 多任务流水线（subdomain → port → vuln → screenshot）。 适合个人 SRC 工作流，但需注意：默认部署有 SSRF/RCE 历史漏洞，请放在隔离 VPS。

6.14.2 Nettacker / Spiderfoot#

• Spiderfoot：100+ 模块的 OSINT 自动化引擎，HTTP API 友好
• Nettacker：偏自动化扫描

6.14.3 自建流水线参考架构#

1
        ┌──────────────────┐
2
        │  调度（Airflow）  │
3
        └─────────┬────────┘
4
                  ▼
5
   ┌────────┬──────────┬────────┐
6
   │subfinder│ amass    │crt.sh  │   被动数据采集
7
   └─────┬──┴───────┬──┴────┬───┘
8
         └──────────┼───────┘
9
                    ▼
10
            ┌────────────┐
11
            │ dnsx 解析   │
12
            └─────┬──────┘
13
                  ▼
14
            ┌────────────┐
15
            │ httpx 探活  │
16
            └─────┬──────┘
17
                  ▼
18
            ┌────────────┐
19
            │ nuclei + 自定义模板 │
20
            └─────┬──────┘
21
                  ▼
22
            ┌────────────┐
23
            │ Postgres / Elastic │  ← 持久化 + 检索
24
            └─────┬──────┘
25
                  ▼
26
            ┌────────────┐
27
            │ Slack / 飞书告警 │
28
            └────────────┘

每日 / 每周调度，差异告警比绝对量更有价值。

6.14.4 ProjectDiscovery Cloud / Bevigil / Censys ASM#

商业 ASM (Attack Surface Management) 平台，按域 / IP / 公司持续监测；适合大型企业蓝队。

6.15.1 移动 App 元数据#

• APK 静态信息：aapt dump badging app.apk 看 versionCode、permissions、签名
• iOS IPA：Info.plist 含 Bundle ID、URL Schemes、ATS 例外
• Web App Manifest：/.well-known/assetlinks.json、/.well-known/apple-app-site-association 暴露关联域名 / Universal Link
• AndroidManifest 反编译：apktool d app.apk → 找暴露的 Activity、Service、ContentProvider

6.15.2 IoT / 嵌入式#

• 设备端口指纹：Modbus 502、BACnet 47808、UPnP 1900
• 固件包检索：制造商 FTP、GitHub、Wayback、第三方下载站
• Shodan 标签：product:"Hikvision"、org:"Tp-link"
• ICS：Modbus、DNP3、IEC-104 → ICS Honeypot 项目（Conpot）

6.15.3 卫星 / 无人机 OSINT#

• ADS-B（飞机）：https://flightaware.com、https://adsbexchange.com
• 船舶 AIS：https://www.marinetraffic.com/
• 卫星图：Sentinel Hub / Planet / Maxar（按购买）
• Bellingcat 大量公开案例展示了如何用以上数据交叉验证战场冲突。

6.16.1 LLM 辅助情报关联#

• 大模型的优点：跨语种摘要、命名实体识别、关系抽取
• 应用：把 1000 份新闻 / 论坛讨论 → 生成结构化时间线 + 主体清单
• 风险：LLM 幻觉，需人工二次校验关键事实

6.16.2 检索增强（RAG）+ OSINT 数据集#

• 把 CT / Passive DNS / Shodan dump 灌进向量库
• 自然语言 query：‘查找过去 3 年里 example.com 在某段时间申请的所有 SAN 包含子串的证书’

6.16.3 反向：用 LLM / 图像模型对抗 OSINT#

• 自动化更换头像 / 文本风格，混淆 stylometry
• 反指纹浏览器（伪造 Canvas、字体）
• LLM 生成”无意义但合理”的社交内容稀释画像信号

6.16.4 LLM 作为社工放大器#

• 攻击者用 LLM 自动生成钓鱼邮件、即时回复、声音克隆
• 蓝队需对应升级：用户教育 + 多通道身份验证

6.17.1 法律边界（中国大陆视角）#

• 《网络安全法》第二十七条：禁止非法获取、出售、提供个人信息或他人网络数据
• 《数据安全法》：跨境数据流动限制
• 《个人信息保护法》(PIPL)：明确同意 / 最小必要 / 目的限定
• CFAA（美国）：未授权访问”受保护计算机”即违法
• GDPR（欧盟）：处理欧盟居民个人数据需合法依据

6.17.2 OSINT 合规自检#

• 数据来源是否公开？还是绕过技术措施获取？
• 处理目的是否合理？是否最小必要？
• 是否对当事人造成可识别伤害？
• 是否在签订的 SOW / RoE 范围内？
• 跨境传输是否合规？

6.17.3 红队 / 蓝队的职业伦理#

• “能拿到不等于该拿到”
• 留痕原则：保留授权书、操作日志、数据销毁记录
• 公开场合脱敏：演讲 / 文章不要讲具体客户细节
• “白帽子” 不是法律豁免身份

6.18.1 命名规范#

1
osint/
2
├── targets/
3
│   ├── example-com/
4
│   │   ├── 01_recon/
5
│   │   ├── 02_assets/
6
│   │   ├── 03_people/
7
│   │   ├── 04_leaks/
8
│   │   ├── 05_findings/
9
│   │   └── README.md   ← 总览（含授权书、时间窗、重要联系人）
10
│   └── …
11
├── tools/
12
└── methodology/

6.18.2 Notes 模板#

1
# Target: example.com
2
- 授权窗口: 2026-01-01 ~ 2026-01-31
3
- 联系人: alice@example.com / +86-...
4
- 范围: *.example.com、AWS account 1234
5
- 禁入: prod.payment.example.com
6

7
## 资产
8
| 类型 | 标识 | 来源 | 时间 |
9
| ---- | ---- | ---- | ---- |
10

11
## 发现
12
| 等级 | 标题 | 证据 | 推荐处置 |
13
| ---- | ---- | ---- | -------- |

6.18.3 OSINT 在历史 CVE 应急中的角色#

6.18.4 推荐工具栈#

• 笔记：Obsidian / Logseq + Git 同步
• 截图：Flameshot + 自动 OCR
• 时间线：TimelineJS / Aeon Timeline
• 图谱：Maltego / Neo4j Bloom
• 报告：Markdown → Pandoc → PDF / Word

6.19.1 CT 工作机制（细化）#

1
CA 签发证书 → SCT (Signed Certificate Timestamp)
2
   通过两种方式呈现：
3
   1. 证书扩展（X.509 SCT extension）
4
   2. TLS 握手中的 OCSP / TLS extension
5

6
浏览器（Chrome / Safari）要求 ≥ 2 个独立 Log 的 SCT

6.19.2 公开 Log 列表#

• Google Argon / Xenon
• Cloudflare Nimbus
• DigiCert Yeti / Nessie
• Sectigo Sabre / Mammoth
• Let’s Encrypt Oak

6.19.3 CT 监控工具与 API#

• crt.sh PostgreSQL 后端，可直接 SQL 查询
• Cert Spotter / Facebook CT Monitor（被关停后由社区接管）
• 自托管：certstream 实时订阅 → 写规则
• 报警条件：
  • 出现非自家 CA 给自家域签发
  • 子域命名出现仿冒（typosquat）
  • 与历史模式偏差大的 SAN 数量

6.19.4 PoC：实时监听 CT 流并告警#

1
import certstream, re
2

3
PATTERNS = [r'login-example\.com', r'.*-example\.com', r'example\.tk']
4

5
def callback(message, context):
6
    if message['message_type'] != 'certificate_update':
7
        return
8
    for d in message['data']['leaf_cert']['all_domains']:
9
        for p in PATTERNS:
10
            if re.search(p, d, re.I):
11
                print(f"[!] Suspicious CT: {d}")
12

13
certstream.listen_for_events(callback,
14
    url='wss://certstream.calidog.io/')

可与告警渠道（Slack / 飞书 webhook）联动。

6.20.1 favicon 哈希（mmh3 / shodan_hash）#

1
import mmh3, codecs, requests
2
res = requests.get('https://target/favicon.ico')
3
b64 = codecs.encode(res.content, 'base64')
4
hash_v = mmh3.hash(b64)
5
print(hash_v)  # 可在 Shodan / FOFA / Hunter 用 `http.favicon.hash:<hash>` 搜

特定后台框架 favicon 在所有部署中通常一致 → 可一键找到所有同类后台。

6.20.2 HTTP 指纹聚合#

• Server 头 + X-Powered-By + X-Generator
• HTML 关键 meta tag（generator）
• <link rel="manifest"> 指向的 manifest.json
• JS 文件名 hash（webpack chunk）
• 错误页面 banner（如 Tomcat 默认 404）

6.20.3 TLS 指纹（JARM / JA3S）#

• JA3 = 客户端 TLS 握手指纹
• JA3S = 服务端响应指纹
• JARM = 主动探测：用 10 个不同 Client Hello 探目标 → 拼指纹
• 应用：识别 C2（Cobalt Strike Beacon、Metasploit handler）

6.20.4 SSH banner / version#

1
nc target 22 -w 3
2
# SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.5

服务器版本与发行版默认包对照可推断 OS 版本（“OpenSSH 8.2p1 Ubuntu” → Ubuntu 20.04 LTS）。

教材#

• Michael Bazzell，《Open Source Intelligence Techniques (10th Ed.)》
• Nihad A. Hassan，《Open Source Intelligence Methods and Tools》
• Kevin Mitnick，《The Art of Deception》（社工经典）
• Robert Layton，《Big Data and Privacy》

资源 / 平台#

• OSINT Framework：https://osintframework.com/
• Bellingcat 案例研究：https://www.bellingcat.com/
• Trace Labs CTF（合规 OSINT 比赛）
• IntelTechniques 训练课程
• Maltego Community Edition

标准 / 法律#

• 《网络安全法》《数据安全法》《个人信息保护法》
• GDPR、CCPA
• ISO/IEC 27037（数字证据采集）

论文 / 博客#

• Mandiant APT Reports（M-Trends 年度报告）
• Microsoft Threat Intelligence Center
• Cisco Talos 博客
• ProjectDiscovery 博客（recon 工程实战）
• HackTricks OSINT 章节

关键收获#

• 被动优先：能通过被动渠道得到的信息，绝不主动接触目标
• 数据 → 信息 → 情报 三步走：原始抓取 → 清洗聚合 → 关联判断
• 结构化记录：每个目标一套笔记 + 截图 + 时间戳；可重复、可审计
• OPSEC 永不放松：化身、出口、设备、行为四要素一致
• 合规底线：法律 + SOW + 道德三重约束
• 持续监控：CT、Shodan、GitHub 是流动的数据源，定期跑差异更新

与其他章节的接口#

• → Ch07（漏洞评估与扫描）：把 live.txt / urls.txt 喂给扫描器
• → Ch08（渗透方法论）：把 people.csv 用于钓鱼定制
• → Ch11（蓝队 / SOC）：CT 实时监控 + Honeytoken 是检测早期阶段攻击者侦察的关键
• → Ch12（云 / AI 安全）：云资产与移动 App 的 OSINT 思路在那里继续延伸

典型 anti-pattern#

• 一开始就 nmap 全端口扫描 → 高频留痕被 ban
• 子域 dump 到一个文件不去重不分类 → 数据噪音淹没真情报
• 凭证泄露发现后立刻 PoC 测试 → 触发蓝队告警 + 法律风险
• LinkedIn 加好友 / 私信 → 暴露化身 + 触发目标警觉

推荐学习节奏#

1. 第 1 周：把本章工具全装好，把自己 / 家人的公开账号画一遍像，体会信息暴露
2. 第 2 周：在 HackTheBox / TryHackMe 的 OSINT 房间练习
3. 第 3 周：参加 Trace Labs CTF 一次，学习按真实失踪人员案件做合规 OSINT
4. 第 4 周：以”自己的开源仓库 + Shodan 个人账号”为对象做一次完整 recon，写报告

完成本章后，你应当具备给定一个域名 / 公司名，2 小时内交付一份结构化资产 + 人员 + 泄露画像的能力。

复盘检查表#

• 我的子域枚举工具链至少包含 3 个独立数据源
• 我能区分被动 / 主动侦察并解释其 OPSEC 后果
• 我的 OSINT 笔记结构可让其他人（队友 / 律师）快速复核
• 我能解释 CT、Passive DNS、Wayback 三者的差异和应用
• 我对至少 5 类常见敏感信息泄露场景有自动化检测能力
• 我能写出本章的 recon.py 全流水线脚本而无需查文档
• 我了解 PIPL / GDPR / CFAA 在 OSINT 上的红线
• 我能从攻击者视角制定一份针对自家组织的 ASM 治理计划

如全部勾上，进入 Ch07 漏洞评估与扫描；如有空缺，回到对应小节强化。