Лучший пентестер — тот, кто знает о цели больше, чем она знает о себе. И всё это — до единого запроса к её серверу.
OSINT (Open Source Intelligence) — это разведка на основе открытых источников. Форумы, соцсети, DNS-записи, SSL-сертификаты, утечки баз данных — всё это публично и доступно любому, кто умеет искать. Грамотный OSINT экономит часы активного сканирования и при этом не оставляет следов в логах цели.
🎯 Пассивная vs Активная разведка
Прежде чем касаться цели — пойми разницу:
💡 Правило первого пакета: знай всё, что можно узнать пассивно, прежде чем послать хотя бы один ping. После первого пакета ты уже существуешь в логах цели.
🏗️ Фреймворк OSINT: что и в каком порядке собирать
Хаотичный OSINT — это просто гугление. Системный OSINT — это карта атаки:
|
1 2 3 4 5 6 7 |
1. Домен и DNS → инфраструктура 2. IP и ASN → хостинг, сеть, CDN 3. Email-адреса → сотрудники, векторы фишинга 4. Субдомены → скрытые части инфраструктуры 5. Технологический стек → что ломать 6. Утечки данных → готовые учётные данные 7. Люди и соцсети → социальная инженерия |
🌐 Шаг 1: Домен и DNS — карта инфраструктуры
Начинаем с самого очевидного — доменного имени:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# WHOIS — кто зарегистрировал домен, когда, где: whois target.com # DNS-записи — все типы сразу: dig target.com ANY dig target.com MX # почтовые серверы (вектор фишинга!) dig target.com TXT # SPF, DKIM, верификации сервисов dig target.com NS # серверы имён # Попытка зонной передачи (если повезёт — вся карта хостов): dig axfr @ns1.target.com target.com # Определяем реальный IP за CDN (Cloudflare и т.д.): nslookup target.com host target.com |
Что ищешь в TXT-записях: v=spf1 include:mailchimp.com include:sendgrid.net — уже знаешь, что используют для рассылки. google-site-verification=... — есть Google Analytics. Каждая запись — подсказка о технологическом стеке.
🔎 Шаг 2: Google Dorks — поисковик как скальпель
Google индексирует то, что администраторы забыли закрыть. Используй это:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# Найти все поддомены через Google: site:target.com # Найти конкретные типы файлов: site:target.com filetype:pdf site:target.com filetype:xlsx site:target.com filetype:sql # дамп базы данных?! # Найти логины и панели управления: site:target.com inurl:admin site:target.com inurl:login site:target.com intitle:"phpMyAdmin" # Найти открытые директории: site:target.com intitle:"index of" # Утечки конфигов и паролей: site:target.com ext:env "DB_PASSWORD" site:target.com ext:log "error" site:target.com "password" filetype:txt # Найти камеры и устройства: intitle:"webcamXP" inurl:8080 inurl:"/view/index.shtml" |
🔥 Google Dorks — это легально, пассивно и невероятно продуктивно. Специальная база дорков: exploit-db.com/google-hacking-database — тысячи готовых запросов, отсортированных по категориям.
📡 Шаг 3: Shodan — Google для устройств и серверов
Shodan — поисковик, который сканирует интернет и индексирует баннеры устройств: серверы, роутеры, камеры, промышленные системы, IoT. Ты просто ищешь — а он уже всё просканировал за тебя:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
# Найти все хосты организации по ASN: org:"Target Company Inc" asn:AS12345 # Найти конкретные сервисы: hostname:target.com port:22 hostname:target.com port:3389 # открытый RDP — привет! hostname:target.com product:nginx # Найти уязвимые версии: hostname:target.com "Apache/2.2" hostname:target.com "OpenSSH 7.4" # версия с известными CVE # Найти дефолтные пароли (да, правда): "default password" port:23 title:"RouterOS" port:8291 |
Что увидишь в карточке хоста: IP, страна, ASN, открытые порты, версии ПО, SSL-сертификат, баннеры сервисов. Иногда — прямо в баннере учётные данные от тестовых окружений.
📧 Шаг 4: theHarvester — сбор email и поддоменов
theHarvester агрегирует данные из десятков источников: поисковики, LinkedIn, сертификаты, DNS:
|
1 2 3 4 5 6 7 8 9 10 11 |
# Установлен в Kali из коробки. Базовый запуск: theHarvester -d target.com -b google -l 200 # Несколько источников сразу: theHarvester -d target.com -b google,bing,linkedin,urlscan # Использовать Shodan для найденных IP: theHarvester -d target.com -b all -s # Сохранить в XML и HTML отчёт: theHarvester -d target.com -b all -f report_target |
Что получишь на выходе:
-
Email-адреса сотрудников → вектор для спир-фишинга
-
Субдомены → скрытые части инфраструктуры
-
IP-адреса → диапазоны для дальнейшего сканирования
-
Имена сотрудников → LinkedIn-профили, социальная инженерия
🕷️ Шаг 5: SpiderFoot — автоматизация всего и сразу
SpiderFoot запрашивает 100+ источников автоматически и строит граф связей:
|
1 2 3 4 5 6 7 8 |
# Установка: pip3 install spiderfoot # Запуск веб-интерфейса: spiderfoot -l 127.0.0.1:5001 # Или CLI-режим: spiderfoot -s target.com -t INTERNET_NAME -m sfp_dns,sfp_shodan,sfp_haveibeenpwned |
SpiderFoot автоматически находит: поддомены, IP, email, аккаунты в соцсетях, утечки паролей, связанные домены, упоминания в пастебинах и даркнете.
🔐 Шаг 6: SSL-сертификаты — кладезь поддоменов
Многие администраторы не думают о том, что SSL-сертификаты публичны. Certificate Transparency Logs содержат историю всех когда-либо выданных сертификатов:
|
1 2 3 4 5 6 7 8 |
# Через браузер (бесплатно): # https://crt.sh/?q=%.target.com # Через командную строку: curl -s "https://crt.sh/?q=%.target.com&output=json" | \ jq -r '.[].name_value' | sort -u # Результат: список всех поддоменов, включая dev, staging, internal |
💣
dev.target.com,staging.target.com,internal-api.target.com— вот где обычно нет WAF и есть дефолтные пароли. Certificate Transparency Logs раскрывает их бесплатно и пассивно.
👤 Шаг 7: Люди и соцсети — человеческий фактор
Технической защиты нет там, где есть люди:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
# LinkedIn — найти сотрудников цели: site:linkedin.com "Target Company" "engineer" site:linkedin.com "Target Company" "DevOps" site:linkedin.com "Target Company" "IT Administrator" # GitHub — утечки кода и секретов: site:github.com "target.com" "password" site:github.com "target.com" "api_key" site:github.com "target.com" "secret" site:github.com org:targetcompany # Проверить почту на утечках: # https://haveibeenpwned.com # https://dehashed.com |
Найденный john.smith@target.com из LinkedIn + его пароль Qwerty2019! из утечки 2019 года = попытка входа в VPN, почту, Confluence. Это credential stuffing, и он работает.
🛠️ Быстрый OSINT Cheatsheet — все инструменты
| Задача | Инструмент | Ссылка/команда |
|---|---|---|
| DNS + WHOIS | dig, whois |
Kali из коробки |
| Google Dorks | GHDB | |
| Поддомены по сертификатам | crt.sh | curl crt.sh/?q=%.target.com |
| Email + субдомены | theHarvester | theHarvester -d domain -b all |
| Устройства и сервисы | Shodan | shodan.io |
| Автоматический OSINT | SpiderFoot | spiderfoot -l 127.0.0.1:5001 |
| Граф связей | Maltego | maltego.com |
| Утечки паролей | HaveIBeenPwned | haveibeenpwned.com |
| Архив сайта | Wayback Machine | web.archive.org |
| Соцсети | Sherlock | sherlock username |
📋 Итоговый OSINT-чеклист перед первым пакетом
|
1 2 3 4 5 6 7 8 9 10 |
✅ WHOIS — кто владелец домена, регистратор, даты ✅ DNS ANY — все записи: A, MX, TXT, NS, CNAME ✅ crt.sh — все поддомены из SSL-сертификатов ✅ Google Dorks — открытые файлы, панели, директории ✅ Shodan — открытые порты, версии ПО, уязвимые сервисы ✅ theHarvester — email-адреса, имена сотрудников ✅ GitHub/GitLab — утечки кода, API-ключи, пароли ✅ HaveIBeenPwned — скомпрометированные учётки ✅ Wayback Machine — старые версии сайта, скрытые эндпоинты ✅ LinkedIn — структура команды, технологии (по вакансиям!) |
🔍 Лайфхак про вакансии: компания ищет «DevOps с опытом Kubernetes, AWS EKS, HashiCorp Vault» — ты уже знаешь их стек без единого сканирования. Вакансии на HH.ru и LinkedIn — это непреднамеренный технический OSINT.
💣 Главное правило OSINT: чем больше ты знаешь до активной фазы — тем точнее атака, тем меньше шума, тем выше шанс остаться незамеченным. Профессиональный пентест начинается не с Nmap, а с чашки кофе и открытого браузера.
