纯被动 OSINT 情报收集,不触碰目标。当需要在不被目标察觉的情况下收集资产情报、在正式渗透前做预研、或通过 FOFA/Quake/Hunter 等搜索引擎发现暴露资产时使用。同时适用于需要从多引擎交叉比对获取完整资产视图的场景
相关 skill:子域名深度枚举 →
subdomain-deep;目标画像分析 →target-profiling;社会工程学 →social-engineering
⛔ 深入参考:各引擎的完整查询语法和 API 调用方式见
references/search-engine-syntax.md
被动侦察的核心优势是零接触——不会在目标日志中留下痕迹。适合渗透前期预研、红队侦察、或在授权范围外只能做被动收集的场景。
通过 http_request 或 curl 查询 FOFA API(https://fofa.info/api/v1/search/all?...)— 国内最大的网络空间测绘引擎,适合发现国内资产。
常用查询模式:
domain="example.com"ip="192.168.1.0/24"domain="example.com" && port="8080"domain="example.com" && app="WordPress"通过 http_request 或 curl 查询 Quake API(https://quake.360.net/api/v3/search/quake_service)— 360 网络空间测绘,擅长深度指纹识别。
常用查询模式:
domain:"example.com"domain:"example.com" AND port:8443domain:"example.com" AND app:"Apache Tomcat"通过 http_request 或 curl 查询 Hunter API(https://hunter.qianxin.com/openApi/search)— 鹰图平台,擅长 IP 关联分析和资产聚合。
三个引擎各有侧重,交叉比对才能获取完整视图:
| 维度 | 分析方法 |
|---|---|
| IP/域名清单 | 三引擎去重合并,标注仅单一引擎发现的(可能是新上线/已下线) |
| 端口分布 | 统计高危端口(22/3306/6379/9200),标注非标准端口 |
| 技术栈 | 汇总 Web 框架、中间件、CMS 版本 |
| 管理后台 | 搜索 title 含 "login"/"admin"/"dashboard" 的资产 |
| 证书信息 | SSL 证书中的 CN/SAN 可能泄露内部域名 |
| 历史数据 | 对比不同时间点数据,发现新增/下线资产 |
从被动收集结果中优先标注: