Avançado Pentest e Ofensiva Atualizado em 25 de jun. de 2025

OSINT — coleta de informações passiva: Shodan, LinkedIn, WHOIS, Google dorks

OSINT (Open Source Intelligence) é a coleta de informações a partir de fontes públicas. Em pentest, é a fase mais segura: você aprende sobre o alvo sem disparar um único pacote contra ele.

WHOIS e registros DNS

# Informações do domínio
whois example.com

# Resolução de subdomínios
host -t mx example.com
dig example.com ANY
dig axfr @ns1.example.com example.com   # tenta zone transfer

# Enumeração de subdomínios com dicionário
subfinder -d example.com
amass enum -d example.com

Informações relevantes: registrante, e-mails, servidores de nome, IPs associados, datas de expiração.

Certificados TLS — crt.sh

Certificados SSL são públicos e revelam subdomínios:

# Via browser
https://crt.sh/?q=%25.example.com

# Via curl (JSON)
curl -s "https://crt.sh/?q=%25.example.com&output=json" \
  | jq '.[].name_value' | sort -u

Resultado típico:
  "api.example.com"
  "admin.example.com"
  "staging.example.com"
  "vpn.example.com"

Shodan — ativos expostos na internet

Shodan indexa banners de serviços em toda a internet:

Dorks úteis:
  org:"Example Corp"              → todos os IPs da organização
  hostname:example.com            → subdomínios com serviços
  ssl.cert.subject.cn:example.com → pelo certificado TLS
  port:22 org:"Example Corp"      → SSH exposto
  http.title:"GitLab"            → instâncias GitLab públicas
  product:"Apache httpd" version:"2.4.49"  → versão vulnerável específica

CLI:
  shodan search --fields ip_str,port,org "hostname:example.com"

Google Dorks

Operadores de busca avançada para encontrar arquivos e páginas sensíveis:

Arquivos de configuração:
  site:example.com filetype:env
  site:example.com filetype:xml "password"
  site:example.com filetype:sql

Painéis administrativos:
  site:example.com inurl:admin
  site:example.com intitle:"phpMyAdmin"
  site:example.com inurl:wp-admin

Informações expostas:
  site:example.com "Index of /"
  site:example.com ext:log
  site:example.com "DB_PASSWORD"

Cache e versões antigas:
  cache:example.com/admin

LinkedIn e fontes humanas

O que buscar:
  - Stack tecnológico (vagas de emprego revelam versões usadas)
    Exemplo: "vaga Node.js 14 + Kubernetes 1.21 + AWS RDS"
  - Nomes de funcionários de TI → engenharia social
  - Fornecedores e parceiros → cadeia de suprimentos
  - Funcionários recém-demitidos → possível insider

Ferramentas:
  theHarvester -d example.com -b linkedin
  hunter.io → e-mails corporativos por domínio

Pastebin e vazamentos

Busca por credenciais vazadas:
  site:pastebin.com "example.com"
  site:github.com "example.com" "password"

Serviços especializados:
  haveibeenpwned.com → e-mails em brechas conhecidas
  dehashed.com       → busca em múltiplos dumps
  intelx.io          → pastes, dark web, e-mails

Análise de metadados

Documentos públicos (PDF, DOCX, XLSX) contêm metadados:

exiftool documento.pdf

Revela:
  Author: joao.silva
  Creator: Microsoft Word 2016
  Producer: GPL Ghostscript 9.18
  ModifyDate: 2024:03:15 14:22:10
  Company: Example Corp

→ usernames internos, software com versão, horário de trabalho

Automação com recon-ng e theHarvester

theHarvester -d example.com -b google,bing,linkedin,shodan -l 200

recon-ng:
  marketplace install all
  modules load recon/domains-hosts/hackertarget
  options set SOURCE example.com
  run

OSINT bem feito economiza horas de scan — e às vezes revela o vetor de entrada antes de qualquer ferramenta ativa.