公開(kāi)資源情報(bào)計(jì)劃（Open source intelligence ），簡(jiǎn)稱(chēng)OSINT，是美國(guó)中央情報(bào)局（CIA）的一種情報(bào)搜集手段，從各種公開(kāi)的信息資源中尋找和獲取有價(jià)值的情報(bào)。
有各種各樣的數(shù)據(jù)可以被歸類(lèi)為OSINT數(shù)據(jù)，但從滲透測(cè)試者的角度來(lái)看所有這些數(shù)據(jù)都不重要。作為滲透測(cè)試人員，我們更感興趣的是那些可以為我們實(shí)際所利用的數(shù)據(jù)信息。例如：
可增加攻擊面的信息（域，網(wǎng)塊等）；
憑據(jù)（電子郵件地址，用戶(hù)名，密碼，API密鑰等）；
敏感信息（客戶(hù)詳細(xì)信息，財(cái)務(wù)報(bào)告等）；
基礎(chǔ)架構(gòu)詳情（技術(shù)棧，使用的硬件設(shè)備等）；

12種OSINT信息收集技巧
1. SSL/TLS證書(shū)通常都會(huì)包含域名，子域名和電子郵件地址。這使得它成為了攻擊者眼中的一座寶庫(kù)。
證書(shū)透明度Certificate Transparency是谷歌力推的一項(xiàng)擬在確保證書(shū)系統(tǒng)安全的透明審查技術(shù)，只有支持CT技術(shù)簽發(fā)的EV SSL證書(shū)，谷歌瀏覽器才會(huì)顯示綠色單位名稱(chēng)，否則chrome瀏覽器不顯示綠色單位名稱(chēng)。
新的簽發(fā)流程規(guī)定：證書(shū)必須記錄到可公開(kāi)驗(yàn)證、不可篡改且只能附加內(nèi)容的日志中，用戶(hù)的網(wǎng)絡(luò)瀏覽器才會(huì)將其視為有效。通過(guò)要求將證書(shū)記錄到這些公開(kāi)的 CT 日志中，任何感興趣的相關(guān)方都可以查看由授權(quán)中心簽發(fā)的所有證書(shū)。這意味著任何人都可以公開(kāi)獲取和查看這些日志。為此，我專(zhuān)門(mén)編寫(xiě)了一個(gè)用于從給定域CT日志中找到的SSL/TLS證書(shū)中提取子域的腳本。

另外，再推薦大家一款工具SSLScrape。這是一款將網(wǎng)絡(luò)塊（CIDR）作為輸入，來(lái)查詢(xún)各個(gè)IP地址獲取SSL/TLS證書(shū)，并從返回的SSL證書(shū)中提取主機(jī)名的工具。
sudo python sslScrape.py TARGET_CIDR

2. WHOIS服務(wù)在滲透測(cè)試期間，通常用于查詢(xún)注冊(cè)用戶(hù)的相關(guān)信息，例如域名或IP地址（塊）。WHOIS枚舉對(duì)于在互聯(lián)網(wǎng)上擁有大量資源的組織尤為有效。
一些公共WHOIS服務(wù)器支持高級(jí)查詢(xún)，我們可以利用這些查詢(xún)來(lái)收集目標(biāo)組織的各種信息。
下面我以icann.org為例，通過(guò)查詢(xún)ARIN WHOIS server獲取目標(biāo)域所有包含email地址的條目，并從中提取email地址。
whois -h whois.arin.net "e @ icann.org" | grep -E -o "\b[a-zA-Z0-9.-]+@[a-zA-Z0–9.-]+\.[a-zA-Z0–9.-]+\b" | uniq

通過(guò)查詢(xún)RADB WHOIS server獲取屬于自治系統(tǒng)號(hào)（ASN）的所有網(wǎng)絡(luò)塊。
whois -h whois.radb.net -- '-i origin AS111111' | grep -Eo "([0-9.]+){4}/[0-9]+" | uniq

通過(guò)查詢(xún)ARIN WHOIS server獲取給定關(guān)鍵字的所有POC，ASN，組織和終端用戶(hù)。
whois -h whois.arin.net "z wikimedia"

3. 自治系統(tǒng)（AS）號(hào)可以幫我們識(shí)別屬于組織的網(wǎng)絡(luò)塊，以及發(fā)現(xiàn)網(wǎng)絡(luò)塊中主機(jī)上運(yùn)行的服務(wù)。
使用dig或host解析給定域的IP地址：
dig +short google.com
獲取給定IP的ASN：
curl -s http://ip-api.com/json/IP_ADDRESS | jq -r .as
我們可以使用WHOIS服務(wù)或NSE腳本，來(lái)識(shí)別屬于ASN號(hào)碼的所有網(wǎng)絡(luò)塊：
nmap --script targets-asn --script-args targets-asn.asn=15169

4. 如今使用云存儲(chǔ)的企業(yè)越來(lái)越多，尤其是對(duì)象/塊存儲(chǔ)服務(wù)，如Amazon S3，DigitalOcean Spaces和Azure Blob Storage。但在過(guò)去的幾年里，由于S3 buckets錯(cuò)誤配置導(dǎo)致的數(shù)據(jù)泄露事件頻出。
根據(jù)我們的經(jīng)驗(yàn)，我們看到人們將各種數(shù)據(jù)存儲(chǔ)在安全性較差的第三方服務(wù)上，從純文本中的憑據(jù)到他們私人的寵物照片。
這里有一些工具例如Slurp、AWSBucketDump和Spaces Finder，可用于搜索可公開(kāi)訪(fǎng)問(wèn)的對(duì)象存儲(chǔ)實(shí)例。Slurp和Bucket Stream等工具將證書(shū)透明度日志數(shù)據(jù)與基于置換的發(fā)現(xiàn)相結(jié)合，以識(shí)別可公開(kāi)訪(fǎng)問(wèn)的S3 buckets。


5. Wayback Machine是一個(gè)國(guó)外的網(wǎng)站，它是互聯(lián)網(wǎng)的一個(gè)備份工具，被稱(chēng)為互聯(lián)網(wǎng)時(shí)光機(jī)，自從1996年以來(lái)Wayback Machine已經(jīng)累計(jì)備份了超過(guò)4350億個(gè)網(wǎng)頁(yè)。
你只要在它的網(wǎng)站上輸入一個(gè)網(wǎng)站地址，就能看到這個(gè)網(wǎng)站在過(guò)去的不同時(shí)期分別長(zhǎng)什么樣。通過(guò)Wayback CDX Server API我們可以輕松的搜索存檔。waybackurls是一個(gè)用于搜索目標(biāo)站點(diǎn)相關(guān)數(shù)據(jù)的工具。