我如何利用 Perplexity AI 做 Bug Bounty 信息收集(并榨干它的每一滴价值)
字数 1467 2025-08-18 11:38:56

利用Perplexity AI进行Bug Bounty信息收集的终极指南

0. 基本规则设定

在开始信息收集前,必须设定明确的规则框架:

基准提示模板

Context(上下文):我有权限在以下范围内的资产上执行信息收集。
Goal(目标):仅使用合法、被动的OSINT,识别并优先排序攻击面。
Scope(范围):[在此粘贴项目提供的域名/IP/通配符]
Deliverable(产出):必要时用表格、项目符号、JSON。标明来源。标记未知项。
Constraints(限制):除非明确允许,否则不得扫描。仅限被动情报。

1. 精确理解范围

操作步骤

  1. 将赏金计划的全文政策文档输入Perplexity AI
  2. 要求AI拆解为:
    • 纯资产列表(根域名、FQDN、CIDR)
    • 包含类型、范围说明和限制的JSON格式
  3. 特别注意政策文档中可能隐藏的单独IP段

2. 子域名枚举策略

三阶段被动枚举计划

阶段 内容 示例
来源 CT日志、DNS历史、分析ID crt.sh, SecurityTrails
查询 特定查询语句 site:target.com -www
可靠性 数据源可靠性评分 CT日志(高), 第三方DNS(中)
验证 安全验证方法 被动DNS交叉验证

技巧

  • 利用AI提醒的CT日志网站和分析ID关联枚举技巧
  • 寻找全新子域名的非传统方法

3. ASN和基础设施映射

操作流程

  1. 使用公共WHOIS、IPinfo、Shodan、Censys查询
  2. 生成表格: 
    ASN → 网段 → 托管商 → 自有/第三方
  3. 发现规律:
    • 生产环境旁边的裸IP测试环境
    • 隐藏的基础设施关联

4. CT日志深度利用

关键数据点

  • FQDN
  • 首次出现时间
  • 最后出现时间
  • 组织名不匹配情况

价值

  • 发现已"退役"但依然存活的系统
  • 识别历史遗留的暴露面

5. 智能Google Dorking

定制化搜索策略

site:target.com intitle:"test" OR "dev" OR "staging"
filetype:pdf OR filetype:docx OR filetype:pptx

重点查找

  • 开发/测试环境
  • 暴露的目录结构
  • GitHub提及
  • 公开文档(PDF/DOCX/PPTX)中的元数据

6. 第三方情报收集

操作步骤

  1. 根据分析ID、追踪像素、客服插件识别第三方服务
  2. 生成表格: 
    服务 → 证据 → 关联子域名
  3. 使用分析ID反查其他未列入范围的域名

7. 公共代码分析

GitHub搜索策略

  • 域名或员工邮箱提及
  • 内部工具线索
  • API端点
  • 旧提交中的遗忘子域名

输出格式

仓库 → 所有者 → 信息收集价值

8. 归档信息收集

Wayback Machine利用

  1. 按年份列出唯一URL
  2. 标记关键发现:
    • 已消失的管理后台
    • API文档
    • 登录页面
  3. 检查端点是否迁移到其他子域名

9. DNS配置审计

被动检查项

  • 失效的CNAME记录
  • 陈旧的MX记录
  • 未使用的TXT记录

输出格式

记录类型 → 发现详情 → 安全验证方法

10. 优先级排序系统

评分标准(1-5分)

维度 评分标准
潜在漏洞可能性 技术栈、历史漏洞、暴露程度
业务影响 核心业务、用户数据、财务系统

输出:生成短名单供后续主动测试

11. 时间管理策略

两种工作模式

  1. 60分钟快速冲刺:

    • 基础子域名枚举
    • 明显暴露面识别
    • 快速评分

  2. 4小时深度挖掘:

    • 完整历史记录分析
    • 第三方依赖映射
    • 基础设施关联分析

12. 实时报告格式化

持续记录格式

资产 | 证据来源 | 发现详情 | 优先级 | 安全后续

优势:直接可用于最终漏洞报告

高级提示技巧

  1. 未尝试角度挖掘
    "我还有哪些信息收集角度没试过?"

  2. 第三方服务聚焦
    "哪些发现和第三方服务有关?"

  3. 变更模式分析
    "哪些历史变化暗示着新部署?"

核心原则

  1. AI作为思考放大器:不是替代思考,而是增强思考能力
  2. 连接数据点:价值在于发现他人忽略的关联
  3. 被动优先:在允许范围内最大化信息收集
  4. 持续记录:边发现边格式化,提高效率

通过这套方法,您将能够系统性地绘制出目标的完整攻击面,在Bug Bounty狩猎中获得竞争优势。

利用Perplexity AI进行Bug Bounty信息收集的终极指南 0. 基本规则设定 在开始信息收集前,必须设定明确的规则框架: 基准提示模板 : 1. 精确理解范围 操作步骤 : 将赏金计划的全文政策文档输入Perplexity AI 要求AI拆解为: 纯资产列表(根域名、FQDN、CIDR) 包含类型、范围说明和限制的JSON格式 特别注意政策文档中可能隐藏的单独IP段 2. 子域名枚举策略 三阶段被动枚举计划 : | 阶段 | 内容 | 示例 | |------|------|------| | 来源 | CT日志、DNS历史、分析ID | crt.sh, SecurityTrails | | 查询 | 特定查询语句 | site:target.com -www | | 可靠性 | 数据源可靠性评分 | CT日志(高), 第三方DNS(中) | | 验证 | 安全验证方法 | 被动DNS交叉验证 | 技巧 : 利用AI提醒的CT日志网站和分析ID关联枚举技巧 寻找全新子域名的非传统方法 3. ASN和基础设施映射 操作流程 : 使用公共WHOIS、IPinfo、Shodan、Censys查询 生成表格: 发现规律: 生产环境旁边的裸IP测试环境 隐藏的基础设施关联 4. CT日志深度利用 关键数据点 : FQDN 首次出现时间 最后出现时间 组织名不匹配情况 价值 : 发现已"退役"但依然存活的系统 识别历史遗留的暴露面 5. 智能Google Dorking 定制化搜索策略 : 重点查找 : 开发/测试环境 暴露的目录结构 GitHub提及 公开文档(PDF/DOCX/PPTX)中的元数据 6. 第三方情报收集 操作步骤 : 根据分析ID、追踪像素、客服插件识别第三方服务 生成表格: 使用分析ID反查其他未列入范围的域名 7. 公共代码分析 GitHub搜索策略 : 域名或员工邮箱提及 内部工具线索 API端点 旧提交中的遗忘子域名 输出格式 : 8. 归档信息收集 Wayback Machine利用 : 按年份列出唯一URL 标记关键发现: 已消失的管理后台 API文档 登录页面 检查端点是否迁移到其他子域名 9. DNS配置审计 被动检查项 : 失效的CNAME记录 陈旧的MX记录 未使用的TXT记录 输出格式 : 10. 优先级排序系统 评分标准(1-5分) : | 维度 | 评分标准 | |------|----------| | 潜在漏洞可能性 | 技术栈、历史漏洞、暴露程度 | | 业务影响 | 核心业务、用户数据、财务系统 | 输出 :生成短名单供后续主动测试 11. 时间管理策略 两种工作模式 : 60分钟快速冲刺: 基础子域名枚举 明显暴露面识别 快速评分 4小时深度挖掘: 完整历史记录分析 第三方依赖映射 基础设施关联分析 12. 实时报告格式化 持续记录格式 : 优势 :直接可用于最终漏洞报告 高级提示技巧 未尝试角度挖掘 : "我还有哪些信息收集角度没试过?" 第三方服务聚焦 : "哪些发现和第三方服务有关?" 变更模式分析 : "哪些历史变化暗示着新部署?" 核心原则 AI作为思考放大器 :不是替代思考,而是增强思考能力 连接数据点 :价值在于发现他人忽略的关联 被动优先 :在允许范围内最大化信息收集 持续记录 :边发现边格式化,提高效率 通过这套方法,您将能够系统性地绘制出目标的完整攻击面,在Bug Bounty狩猎中获得竞争优势。