官网:http://securitytech.cc/
我是如何使用 Perplexity AI 进行漏洞赏金信息收集(并榨干它的每一滴价值)
当大多数人谈到信息收集(recon)时,他们会想到运行几个工具,导出成千上万个子域名,然后……淹没在无尽的噪音中。
我以前就是这样。
后来我开始使用 Perplexity——不是把它当作某种神奇的“帮我找漏洞”按钮,而是把它当成一个真正会思考的研究助理。一旦我学会了如何给它输入正确的提示词,我的信息收集水平完全变了个样。
这篇文章不是理论,而是我在开始一个新项目时的实际工作流程——如何在不触碰范围外目标的前提下,绘制出它们攻击面的每一个角落。
第 0 步:设定基本规则
在我输入目标域名到 Perplexity 之前,我会先铺好背景。 如果你不告诉它你在做什么,它就会给你一堆无关的泛泛信息。
这是我在每次信息收集会话中都会粘贴的**“基准”**提示词:
Context: 我有权限对以下范围内的资产进行信息收集。
Goal: 仅使用合法的、被动的 OSINT 来识别并优先排序攻击面。
Scope: \[从项目中粘贴域名/IP/通配符]
Deliverable: 在有用的地方使用表格、项目符号和 JSON。引用来源。标记未知项。
Constraints: 除非范围内明确允许,否则禁止扫描。仅限被动情报。
这样不仅能让 Perplexity 聚焦任务,也能迫使我自己明确我在寻找什么。
第 1 步:真正理解范围
大多数猎人只是快速浏览一下赏金说明,拿到通配符域名就开始乱扫。
结果就是你测了范围外的东西,报告被拒绝。
所以我会把政策输入到 Perplexity,并让它这样处理:
将该项目的范围拆分为:
- 纯资产列表
- - 根域名、FQDN 和 CIDR
- - 包含类型、范围说明和限制的 JSON
- ````
有一半的情况下,Perplexity 会找到你可能忽略的奇怪条目,比如政策中间藏着的一个单独 IP 段。
---
## 第 2 步:子域名枚举计划
我不会一次性导出 5 万个子域然后被淹没,而是让 Perplexity 帮我设计一个计划:
```markdown
给我一个三阶段的被动子域名收集策略:
- 来源(CT 日志、DNS 历史、分析 ID)
- - 示例查询
- - 可靠性评分
- - 安全验证方法
- ```
它经常会建议我以前忘记的 CT 日志站点,或者通过分析 ID 进行关联,找到一大批新的子域名。
---
## 第 3 步:ASN 和基础设施映射
这是我找到真正隐藏资产的地方,那些不在 Cloudflare 背后的东西。
使用公共 WHOIS、IPinfo、Shodan 横幅和 Censys 查找与这些域相关的 ASN 和 IP 段。 表格格式:ASN → 网段 → 托管服务商 → 直接或第三方。
一旦你有了 ASN,就能发现一些模式,比如生产环境旁边就有一个未保护的测试 IP。
---
## 第 4 步:CT 日志 = 被遗忘的金矿
我最喜欢的技巧之一:
```markdown
从给定域名中,提取历史 CT 日志数据,并列出:
- FQDN
- - 首次发现日期
- - 最后发现日期
- - 组织名称不匹配
- ```
较早的条目往往会引向一些退役系统,只要你知道去哪里找,它们仍然可能有响应。
---
## 第 5 步:聪明的 Google Dorking
我不会再去做随机的 **“site:”** 搜索,而是让 Perplexity 生成**针对目标**的 dork:
```markdown
为该目标生成 Google/Bing/Brave dork,用于查找:
- 开发/测试环境
- - 暴露的目录
- - GitHub 提及
- - 公开文档(PDF/DOCX/PPTX)
- ```
这些 PDF 和 DOCX 往往在页脚或元数据里藏着内部邮箱或服务器名。
---
## 第 6 步:第三方情报
供应商和 SaaS 工具能拓展你的攻击面。
列出通过分析 ID、跟踪像素或客服小部件与这些域相关的第三方服务。 表格:服务 → 证据 → 相关子域名。
然后我会基于这些分析 ID 进行关联,看它们是否被用在公司拥有但没在范围内列出的其他域名上。
---
## 第 7 步:公共代码提及
我不再手动搜 GitHub 了。
查找提及这些域名或员工邮箱的公开代码库。 表格:代码库 → 拥有者 → 情报价值。
我不是为了找密钥,而是想要发现内部工具、API 端点,或旧提交中遗忘的子域名。
---
## 第 8 步:归档信息收集
Wayback Machine 里有一堆被遗忘的端点。
按年份列出这些域的唯一 URL。 标记消失的管理面板、API 文档或登录表单。
然后我会检查这些端点是否在其他子域上依然存在。
---
## 第 9 步:DNS 配置错误
你甚至不用发一个包,就能发现接管机会。
检查这些域的未解析 CNAME、失效的 MX 以及未使用的 TXT 记录。 表格:记录 → 发现 → 安全检查方法。
我找到的一半\*\*“低垂果实”\*\*都来自 DNS。
---
## 第 10 步:像专业人士一样优先排序
没有优先级的信息收集就是一团乱。
```markdown
为每个资产打 1–5 分:
- 可能存在漏洞的概率
- - 被攻破的业务影响
- ```
这样我就能得到一个短名单,方便后续主动测试时重点关注。
---
## 第 11 步:为信息收集设定时间盒
Perplexity 可以帮你把信息收集变成高效冲刺:
基于我的信息收集结果,制定一个 60 分钟和一个 4 小时的被动信息收集冲刺计划。
非常适合想要快速收获或深入挖掘的日子。
---
## 第 12 步:让信息收集随时可直接报告
我学会了边收集边格式化:
格式:资产 | 证据来源 | 收集发现 | 优先级 | 安全后续
这样在写漏洞赏金报告时可以直接使用。
---
## 我的三个“榨干更多价值”的提示词
如果你想让 Perplexity 超越基础用法,这三个提示词很有价值:
- 我还有哪些信息收集角度没尝试?
- 哪些发现与第三方服务有关?
- 哪些历史变化暗示了新部署?
---
## 最后的想法
信息收集是你能悄悄领先其他猎人的阶段。
大家都能跑同样的工具,但不是每个人都能**连接这些点**。
Perplexity 并不会取代你的大脑——它是增强它的。当你让它**和你一起思考**而不是替你思考时,你会得到一张别人没有的地图。
在漏洞赏金狩猎中,这张地图就是一切。
# 公众号:安全狗的自我修养
# vx:2207344074
# Gitee:gitee.com/haidragon
# GitHub:github.com/haidragon
# Bilibili:haidragonx
