使用方式
关于
外部红队和漏洞赏金侦察的操作工具集。包含具体词表(28 个 Swagger 路径、13 个 GraphQL 路径、35 个高风险端口、6 个缺失头部发现、15 个常规 HTTP 检查、5 个 SAML 路径、云存储桶排列、JS 猜测路径、Citrix/F5 等厂商产品指纹)。
进攻性 OSINT — 外部红队武器库
配套技能:
osint-methodology("如何思考"的技能)。本技能是"用什么工具"。配合使用效果最佳。
0. 何时使用 / 何时不使用
使用本技能当:
- 你需要具体的探测路径、字典、正则表达式、载荷、评分规则或工具 URL
- 你正在执行侦察并需要实际技术参考(而非方法论)
- 你正在构建侦察自动化并需要特定列表作为种子
不要使用本技能当:
- 用户要求主动利用、后渗透或超出侦察范围的任何内容
- 用户要求防御/蓝队检测
- 目标的授权未确立——参见 §1
1. 授权与法律态势
适用于操作者拥有或有书面授权评估的资产。对未验证的第三方目标采取行动前进行软范围检查。
2. 置信度级别
- 暂定 — 基于间接证据的合理推断
- 确定 — 直接观察到(子域解析、HEAD 确认的存储桶存在)
- 已验证 — 通过多源交叉验证
3. 子域枚举
被动源
crt.sh, SecurityTrails, VirusTotal, Shodan,
Censys, DNSDumpster, Amass (passive mode),
subfinder, chaos-client
主动探测
# DNS 暴力枚举
subfinder -d target.com -all | httpx -silent
# 证书透明度
curl -s "https://crt.sh/?q=%25.target.com&output=json" | jq -r '.[].name_value' | sort -u
4. 资产发现
Google Dorks
site:target.com filetype:pdf
site:target.com inurl:admin
site:target.com ext:sql | ext:env | ext:log
"target.com" site:github.com
云存储枚举
# S3 存储桶
aws s3 ls s3://target-bucket --no-sign-request
# GCS
gsutil ls gs://target-bucket
# Azure Blob
https://target.blob.core.windows.net/container?restype=container&comp=list
5. 邮箱与人员
邮箱模式发现
hunter.io, phonebook.cz, snov.io,
LinkedIn (手动), GitHub commits
常见模式
{first}.{last}@domain.com
{f}{last}@domain.com
{first}{l}@domain.com
{first}@domain.com
6. 技术指纹
| 类别 | 工具 | |------|------| | Web 技术 | Wappalyzer、httpx、whatweb | | DNS | dig、dnsx、dnsrecon | | 端口 | nmap、masscan、rustscan | | SSL/TLS | sslyze、testssl.sh | | WAF 检测 | wafw00f |
7. 泄露与暴露
代码仓库
# GitHub 搜索
"target.com" password OR secret OR api_key
org:target filename:.env
凭据泄露
dehashed.com, leakcheck.io,
haveibeenpwned.com (API)
兼容工具
Claude CodeCursorGitHub CopilotChatGPT
标签
安全
