June 29, 2026
TryHackMe Passive Reconnaissance (versão em português)
Introdução
By Chris Mineff
13 min read
Bem-vindo à sala Passive Reconnaissance. Este é o ponto de partida do módulo Network Security do TryHackMe.
Nesta sala, reconhecimento passivo significa coletar informações a partir de fontes públicas sem entrar em contato diretamente com o alvo. Isso se diferencia do reconhecimento ativo, no qual você interage diretamente com o alvo e corre o risco de ser detectado.
O reconhecimento passivo continua sendo uma das fases mais poderosas e de menor risco em testes de invasão, bug bounties e threat hunting. Mesmo com leis de privacidade mais rigorosas, como GDPR e CCPA, grandes quantidades de dados úteis continuam publicamente expostas por meio de DNS, WHOIS, logs de certificados, mecanismos de busca e plataformas de censo de dispositivos.
Objetivos
Ao final desta sala, você será capaz de:
Usar whois para consultar detalhes de registro de domínios.
Usar dig, e nslookup para compatibilidade, para consultar registros DNS.
Entender por que consultar servidores públicos de WHOIS e DNS é considerado uma atividade passiva.
Descobrir subdomínios usando DNSDumpster e logs de Certificate Transparency.
Coletar inteligência sobre serviços expostos usando Shodan.io.
Pré-requisitos
Esta sala pressupõe conhecimento básico de redes e familiaridade com o terminal Linux. Se precisar revisar esses conceitos, conclua primeiro:
Networking
Linux Fundamentals
Aviso importante
Se você não é assinante, o AttackBox no navegador não possui acesso direto à Internet. Para qualquer pergunta que exija consultas na web, como DNSDumpster, Shodan, crt.sh e outras, conecte-se à rede do TryHackMe via OpenVPN. Isso dá à sua máquina local, ou ao AttackBox com VPN, conectividade completa com a Internet.
Nenhuma implantação é necessária para esta sala. Todos os exercícios usam dados públicos da Internet, principalmente domínios relacionados ao TryHackMe como exemplos.
Responda à pergunta abaixo:
Esta sala não usa uma máquina de laboratório alvo — VM — para demonstrar os tópicos discutidos. Em vez disso, consultaremos servidores públicos de WHOIS e servidores DNS para domínios pertencentes ao TryHackMe.
Inicie o AttackBox e confirme que ele está pronto. Você usará o AttackBox para responder às perguntas das próximas tarefas, especialmente as tarefas 3 e 4.
Resposta: não é necessário resposta
Reconhecimento passivo versus reconhecimento ativo
Antes mesmo de existirem redes de computadores, Sun Tzu escreveu em A Arte da Guerra: "Se você conhece o inimigo e conhece a si mesmo, sua vitória não estará em dúvida."
Em cibersegurança, esse princípio se aplica a dois papéis. Como atacante, ou hacker ético, você coleta inteligência sobre o alvo para encontrar fraquezas. Como defensor, precisa entender o que um adversário consegue descobrir sobre seus sistemas a partir de fontes públicas e reduzir essa exposição.
Reconhecimento, ou recon, é o levantamento preliminar feito para coletar informações sobre um alvo. Ele continua sendo a primeira fase em frameworks modernos de ataque, como a Unified Kill Chain, em que o reconhecimento ajuda a obter um entendimento inicial antes de qualquer ponto de apoio, e também em variações da clássica Cyber Kill Chain.
O reconhecimento se divide em dois tipos principais.
Reconhecimento passivo
O reconhecimento passivo depende exclusivamente de informações disponíveis publicamente. Nenhum pacote é enviado ao alvo e não ocorre nenhuma interação direta. É como observar o território do alvo a uma distância segura usando binóculos, sem jamais pisar em suas terras.
Atividades passivas comuns incluem:
Consultar registros DNS públicos a partir de resolvedores abertos, como registros A, MX, TXT e outros.
Pesquisar logs de transparência de certificados, como o crt.sh, em busca de subdomínios e certificados emitidos.
Revisar vagas de emprego no LinkedIn ou nas páginas de carreira da empresa para identificar pistas sobre a stack tecnológica utilizada.
Ler notícias públicas, comunicados de imprensa ou documentos vazados em sites de paste.
Verificar dispositivos expostos usando mecanismos de busca como Shodan ou Censys.
Examinar repositórios públicos no GitHub em busca de credenciais hardcoded ou arquivos de configuração.
Reconhecimento ativo
O reconhecimento ativo exige interação direta com o alvo. Suas sondagens podem ser registradas, detectadas ou bloqueadas. É como caminhar até as portas e janelas para testar fechaduras, câmeras e alarmes.
Atividades ativas comuns incluem:
Enviar pacotes para descobrir hosts ativos, como pings ICMP e requisições ARP.
Realizar varredura de portas ou enumeração de serviços, usando ferramentas como Nmap ou masscan.
Interagir com aplicações web ou APIs, por exemplo, fazendo fuzzing de endpoints ou brute force de diretórios.
Realizar tentativas de engenharia social, como phishing, vishing ou ligações telefônicas com pretexting.
Fazer abordagens físicas, como tailgating ou se passar por um fornecedor.
Como o reconhecimento ativo é detectável por IDS, IPS, WAFs e sistemas de logging, ele traz um risco maior de alertar o alvo. Sem autorização explícita, como um escopo de bug bounty ou um contrato de pentest, isso pode levar a problemas legais. O reconhecimento passivo é muito mais furtivo e costuma ser o primeiro passo prático.
Observe que qualquer interação direta com uma pessoa afiliada ao alvo também conta como reconhecimento ativo, mesmo quando nenhum pacote de rede está envolvido. Por exemplo, participar de um evento social e perguntar a um funcionário sobre a stack tecnológica da empresa é reconhecimento ativo, pois você está interagindo diretamente com a organização-alvo.
Dica para defensores
Organizações agora monitoram sua própria pegada passiva usando alertas do Shodan e Censys, watchers de logs de Certificate Transparency e ferramentas automatizadas de OSINT para reduzir aquilo que atacantes conseguem descobrir sem sequer tocar na rede.
Responda às perguntas abaixo:
Você visita a página do Facebook da empresa-alvo, esperando obter alguns nomes de funcionários. Que tipo de atividade de reconhecimento é essa? — A para ativo, P para passivo
Resposta: P
Você faz ping no endereço IP do servidor web da empresa para verificar se o tráfego ICMP está bloqueado. Que tipo de atividade de reconhecimento é essa? — A para ativo, P para passivo
Resposta: A
Você encontra por acaso o administrador de TI da empresa-alvo em uma festa. Você tenta usar engenharia social para obter mais informações sobre os sistemas e a infraestrutura de rede da empresa. Que tipo de atividade de reconhecimento é essa? — A para ativo, P para passivo
Resposta: A
WHOIS
WHOIS é um protocolo de consulta e resposta definido na RFC 3912. Servidores WHOIS escutam na porta TCP 43 e fornecem detalhes de registro de nomes de domínio. O registrador do domínio mantém esses registros para os domínios que administra.
A partir de uma resposta WHOIS, os seguintes detalhes podem estar disponíveis, quando não estão ocultos:
Registrar: a empresa, como Namecheap ou GoDaddy, que registrou o domínio.
Informações de contato do registrante: nome, organização, endereço, telefone e e-mail. No entanto, serviços de privacidade, comuns desde a GDPR de 2018, geralmente substituem esses dados por mensagens como "Withheld for Privacy" ou algo semelhante.
Datas: criação, ou registro; atualização, ou última alteração; e expiração, ou prazo de renovação.
Name servers: os servidores DNS autoritativos para o domínio.
Códigos de status: por exemplo, clientTransferProhibited indica que o domínio está bloqueado contra transferências não autorizadas.
Contatos de abuso: e-mail e telefone do registrador para relatar problemas.
Detalhes pessoais completos agora são raros por causa de leis de privacidade, como GDPR e CCPA, e pelo uso generalizado de proxies de privacidade. Na prática, atacantes focam em datas, para estimar a idade do domínio ou planejar engenharia social próxima ao período de renovação; no registrador, para padrões de phishing; nos name servers, como possíveis pontos fracos; e em mudanças históricas.
Serviços como whoxy.com fornecem snapshots históricos de WHOIS. Dados históricos de WHOIS podem revelar proprietários anteriores, mudanças de registrador ou migrações de name servers que podem indicar comprometimentos passados ou mudanças de infraestrutura.
WHOIS está sendo substituído pelo RDAP
Desde 28 de janeiro de 2025, a ICANN descontinuou oficialmente o protocolo WHOIS tradicional para domínios genéricos de topo, conhecidos como gTLDs, em favor do Registration Data Access Protocol, ou RDAP.
O RDAP é o sucessor moderno: usa HTTPS, sendo mais seguro; retorna JSON estruturado, legível por máquina e consistente; oferece suporte à internacionalização; fornece melhores controles de privacidade, com acesso diferenciado; e se alinha às regras atuais de proteção de dados.
Embora clientes legados de whois ainda funcionem, muitas vezes por failover ou servidores antigos, o RDAP agora é o padrão autoritativo. Muitas ferramentas e navegadores redirecionam automaticamente para RDAP, e o acesso por linha de comando é direto usando curl ou clientes dedicados, como o OpenRDAP.
Para consultar WHOIS, use o cliente de linha de comando whois, que é mais rápido do que a maioria das ferramentas web, ou visualizadores online para consultas legadas.
Sintaxe:
whois DOMAIN_NAMEwhois DOMAIN_NAMENo AttackBox, Kali ou Parrot, execute:
Exemplo de RDAP
Use o curl para consultar um endpoint público de RDAP, por exemplo, o da Verisign para domínios .com.
O utilitário jq formata a saída em JSON para facilitar a leitura. Ele já vem pré-instalado no AttackBox. Caso esteja usando seu próprio sistema, instale-o pelo gerenciador de pacotes da sua distribuição, por exemplo:
sudo apt install jqsudo apt install jq
A saída do RDAP é estruturada, fácil de interpretar e automatizar por scripts, além de ser mais segura. Espere ver esse formato cada vez mais em ferramentas modernas.
O que observar
Cadeia de redirecionamento: por exemplo, da Verisign para o servidor do registrador.
Datas: úteis para estimar a idade da empresa ou identificar janelas de phishing relacionadas à renovação do domínio.
Name servers: possíveis novos alvos, se estiverem dentro do escopo.
Status: domínios bloqueados, como clientTransferProhibited, são mais difíceis de sequestrar.
Alternativas online, caso o comando whois se comporte de forma inesperada
https://whois.icann.org/ — WHOIS legado
https://lookup.icann.org/ — consulta moderna com foco em RDAP
https://www.whoxy.com/ — snapshots históricos de WHOIS, com uso gratuito limitado
No AttackBox, abra um terminal e execute:
whois tryhackme.comwhois tryhackme.comOu tente o exemplo de RDAP com curl para responder às próximas perguntas.
Responda às perguntas abaixo:
Quando o TryHackMe.com foi registrado?
Resposta: 20180705
Qual é o registrador do TryHackMe.com?
Resposta: namecheap.com
Qual empresa o TryHackMe.com está usando para os name servers?
Resposta: cloudflare.com
NSLOOKUP e DIG
Na tarefa anterior, o WHOIS nos forneceu os name servers autoritativos do domínio. Esta tarefa passa para a consulta de registros DNS, o que ainda é totalmente passivo, porque as consultas são feitas a resolvedores públicos ou abertos, e não diretamente aos servidores do alvo.
Essas ferramentas traduzem nomes de domínio para endereços IP, encontram servidores de e-mail, revelam registros TXT, como SPF, DMARC, strings de verificação, entre outros.
Por que preferir dig em vez de nslookup?
Esta tarefa apresenta duas ferramentas de consulta DNS: nslookup e dig. Ambas consultam DNS, mas o dig, historicamente um retroacrônimo de Domain Information Groper, é a opção moderna e preferida.
Ele fornece uma saída mais limpa, exibe valores de TTL por padrão — mostrando por quanto tempo os registros ficam em cache — e é mais confiável para consultas complexas e automação com scripts.
O nslookup é abordado aqui por compatibilidade, já que você ainda o encontrará em documentações antigas e em sistemas Windows, mas o dig deve ser sua ferramenta padrão.
nslookup
O nslookup, ou Name Server Lookup, é a ferramenta mais antiga das duas.
Sintaxe:
nslookup DOMAIN_NAMEnslookup DOMAIN_NAMEExecuta uma consulta simples usando seu resolvedor padrão.
nslookup -type=TYPE DOMAIN_NAME [SERVER]nslookup -type=TYPE DOMAIN_NAME [SERVER]Especifica um tipo de registro e, opcionalmente, um servidor DNS.
Tipos comuns de registros DNS:
Exemplo — endereços IPv4 usando o resolvedor da Cloudflare:
Esses IPs geralmente são anycast, como no caso da Cloudflare. Em um pentest, cada IP pode hospedar serviços diferentes, então verifique se eles estão dentro do escopo.
Exemplo de MX — servidores de e-mail:
O número antes de cada servidor indica a prioridade: valores menores significam prioridade mais alta. Neste caso, o Google Workspace é responsável pelo e-mail, o que é comum em muitas organizações e, normalmente, bem corrigido e atualizado.
dig
O dig é a ferramenta moderna e preferida para consultas DNS.
Sintaxe:
dig [@SERVER] DOMAIN_NAME [TYPE]dig [@SERVER] DOMAIN_NAME [TYPE]Exemplo — registros MX usando a Cloudflare:
Dica de privacidade: use resolvedores públicos como 1.1.1.1, que oferece suporte a DNS over HTTPS e DNS over TLS, para evitar que seu provedor de internet registre suas consultas.
Nota para defensores: monitore alterações DNS inesperadas, como novos registros MX ou entradas TXT suspeitas. Esses sinais podem indicar subdomain takeover ou erros de configuração.
No AttackBox, abra um terminal e use nslookup ou dig, recomendado, para responder às perguntas abaixo.
Responda à pergunta abaixo:
Verifique os registros TXT de thmlabs.com. Qual é a flag encontrada?
Resposta: THM{a5b83929888ed36acb0272971e438d78}
DNSDumpster
Consultas DNS padrão, usando dig ou nslookup, resolvem apenas nomes que você já conhece. Elas não revelarão subdomínios não anunciados, como blog.tryhackme.com, app.tryhackme.com ou dev.internal.company.com.
Subdomínios são importantes porque frequentemente expõem serviços esquecidos ou vulneráveis, como instalações desatualizadas de CMS, painéis de desenvolvimento, aplicações mal configuradas ou de shadow IT, além de aumentarem a superfície de ataque com APIs expostas ou portais administrativos.
No reconhecimento passivo, esses subdomínios são descobertos usando fontes públicas de OSINT, sem que nenhuma consulta seja enviada ao alvo.
Uma ferramenta gratuita bastante conhecida é o DNSDumpster. Ela agrega dados DNS públicos de fontes como caches de mecanismos de busca, bancos de dados de zone transfer e registros de certificados. A ferramenta não realiza enumeração por brute force, o que significa que permanece totalmente passiva.
Os resultados incluem subdomínios e hosts, IPs resolvidos com geolocalização, registros MX, TXT e CNAME, além de mapas visuais mostrando as relações entre esses elementos.
Pesquise por tryhackme.com no DNSDumpster e você verá entradas como blog.tryhackme.com, que consultas DNS básicas deixam passar.
O DNSDumpster também representa os dados em forma de gráfico, mostrando como subdomínios, IPs e servidores de e-mail se relacionam entre si:
Logs de Certificate Transparency — CT
O método passivo mais eficaz atualmente para descoberta de subdomínios é o uso de logs de Certificate Transparency, acessíveis por meio do crt.sh.
Certificate Transparency é um framework público de registro, obrigatório aproximadamente desde 2015, que registra todos os certificados SSL/TLS emitidos por Autoridades Certificadoras participantes.
Cada certificado contém um campo chamado Subject Alternative Name, ou SAN, que lista os domínios e subdomínios cobertos por aquele certificado. Ao pesquisar esses logs, você pode descobrir subdomínios sem enviar nenhum tráfego ao alvo.
Para usar o crt.sh, acesse:
E pesquise por:
%.tryhackme.com%.tryhackme.comO caractere % funciona como um curinga, correspondendo a qualquer subdomínio. Os resultados listarão todos os certificados emitidos para subdomínios de tryhackme.com, frequentemente revelando de 10 a 100 vezes mais subdomínios do que apenas o DNSDumpster.
O crt.sh é totalmente passivo, opera em tempo real e não possui limites de taxa para uso básico.
Outras opções de descoberta passiva de subdomínios incluem o SecurityTrails, com buscas gratuitas limitadas, e ferramentas de linha de comando como o Subfinder, que agregam múltiplas fontes passivas.
Perspectiva do defensor
Organizações monitoram logs de CT e listas de subdomínios para identificar registros DNS pendentes, que trazem risco de subdomain takeover, ou subdomínios não autorizados.
Use o navegador web no AttackBox, ou o seu próprio sistema, para responder às perguntas abaixo.
Responda à pergunta abaixo:
Pesquise tryhackme.com no DNSDumpster. Em Services / Banners, qual item tem a maior contagem?
Resposta: cloudflare
Shodan.io
Durante o reconhecimento passivo, ferramentas como o Shodan.io permitem coletar inteligência sobre ativos expostos à internet de um alvo sem enviar nenhum tráfego diretamente para ele.
O Shodan é um mecanismo de busca para dispositivos conectados à internet. Ele varre continuamente a internet pública, coleta banners e respostas de portas e serviços abertos, e indexa essas informações para pesquisa.
Diferentemente do Google, que indexa páginas web, o Shodan foca em dispositivos: servidores, equipamentos IoT, câmeras, roteadores, sistemas de controle industrial e muito mais.
Valor defensivo: organizações monitoram o Shodan, por meio de alertas ou verificações manuais, para identificar exposições não intencionais, como servidores não autorizados, máquinas de teste esquecidas ou serviços vulneráveis.
Navegando pela interface do Shodan
Para começar, acesse:
Não é necessário ter uma conta para pesquisas básicas. Digite um nome de domínio, como tryhackme.com, ou um endereço IP obtido nas consultas DNS anteriores, como 104.26.10.229, na barra de pesquisa.
A página de resultados exibe uma lista de hosts correspondentes. Ao selecionar um host, é aberta uma visualização detalhada contendo as seguintes informações:
Endereço IP e ASN — Autonomous System Number: identifica o bloco de rede.
Provedor de hospedagem ou organização: por exemplo, Cloudflare ou AWS, revelando a infraestrutura por trás do domínio.
Localização geográfica: país e cidade aproximados do servidor.
Portas e serviços abertos: com strings de versão e banners, como tipo e versão do servidor HTTP.
Tags: como cdn ou vuln, caso uma vulnerabilidade conhecida corresponda à versão do serviço detectado.
Dicas de pesquisa
O Shodan oferece vários filtros de pesquisa para refinar os resultados:
hostname:tryhackme.com corresponde a um hostname específico.
org:"TryHackMe" filtra pelo nome da organização.
port:443 country:US filtra por porta e país.
http.component:"wordpress" identifica a stack tecnológica, caso esteja exposta.
Para a referência completa, consulte:
https://help.shodan.io/the-basics/search-query-fundamentals
Para uma exploração mais aprofundada, o Censys.io, que oferece pesquisas básicas gratuitas, fornece dados semelhantes sobre hosts e certificados. Ele pode ser um complemento útil ao cruzar resultados.
Exercício
Acesse:
Não é necessário ter conta para pesquisas básicas.
Pesquise um dos IPs de tryhackme.com obtidos na Tarefa 4, por exemplo:
104.26.10.229
Ou use:
hostname:tryhackme.comhostname:tryhackme.comExplore os resultados: observe o provedor, como Cloudflare; a localização, como US; as portas abertas, sendo 443/HTTPS comum; e os banners.
Use o Shodan para responder às perguntas abaixo. Todas as respostas são visíveis sem uma conta premium.
Responda às perguntas abaixo:
De acordo com o Shodan.io, qual é o primeiro país do mundo em número de servidores Apache acessíveis publicamente?
Resposta: United States
Based on Shodan.io, what is the 3rd most common port used for Apache?
Resposta: 8080
Dica: para usar filtros no Shodan, você deve estar logado.
Com base no Shodan.io, qual é a porta mais comum usada para nginx?
Resposta: 80
Sumário
Esta sala abordou a coleta de inteligência sem interação direta com o alvo: a fase mais furtiva do reconhecimento.
Principais ferramentas e técnicas
WHOIS: detalhes de registro de domínio, incluindo registrador, datas e name servers. A maioria dos dados pessoais agora é ocultada por motivos de privacidade.
Consultas DNS: registros A/AAAA, para endereços IP; MX, para servidores de e-mail; TXT, para SPF, DMARC, verificação de domínio e outros tipos de registro, consultados por meio de resolvedores públicos como 1.1.1.1.
Enumeração de subdomínios: DNSDumpster para agregação e visualização gráfica de dados DNS, e crt.sh para buscas em logs de Certificate Transparency, que é o método passivo mais eficaz para descobrir subdomínios por meio de certificados SSL/TLS públicos.
Serviços expostos: Shodan.io para banners de dispositivos, portas e informações de hospedagem.
O valor prático desses métodos é que eles são totalmente passivos. Eles não disparam alertas, apresentam risco legal mínimo quando usados de forma ética e dentro do escopo, mas ainda assim frequentemente revelam subdomínios esquecidos, serviços desatualizados ou configurações incorretas.
Referência rápida de comandos
Dicas
Use resolvedores com DoH ou DoT, como 1.1.1.1, para manter suas próprias consultas privadas.
Como defensor, monitore sua pegada digital: configure alertas no Shodan e no Censys, acompanhe logs de Certificate Transparency em busca de novos certificados e monitore alterações DNS para identificar riscos de takeover.
Mesmo que o reconhecimento passivo não toque diretamente o alvo, sempre garanta que o engajamento como um todo esteja autorizado e dentro do escopo.
Os resultados mudam com o tempo. IPs rotacionam, como no caso de anycast da Cloudflare; subdomínios aparecem e desaparecem; e as ocultações de dados por privacidade aumentam.
Próximos passos
Aprofunde-se em DNS: DNS in Detail
Explore mais o Shodan: sala Shodan.io
Amplie seus conhecimentos em OSINT: salas Search Skills e OSINT do TryHackMe, ou recursos externos como o OSINT Framework.
Responda à pergunta abaixo:
Certifique-se de anotar todos os pontos discutidos nesta sala, especialmente a sintaxe das ferramentas de linha de comando.
Resposta: <Não é necessário resposta>