Reconnaissance é a fase inicial e mais crítica de qualquer operação ofensiva. É dividido em três pilares: Business (entender a empresa), People (mapear funcionários) e Infrastructure (identificar superfície técnica). Um pentester profissional vence a batalha antes da primeira requisição — através de inteligência, não de ferramentas.
Todo o conteúdo apresentado é destinado exclusivamente para fins educacionais em ambientes controlados e autorizados. Pentest profissional exige contrato, escopo definido e autorização legal. Nunca aplique técnicas sem permissão. O autor não se responsabiliza pelo uso indevido das informações aqui apresentadas.
O que é Reconnaissance?
Recon é a fase inicial de qualquer operação ofensiva — seja Pentest, Red Team, OSINT ou ataque real. É o momento em que você:
- Identifica o alvo — quem é, o que faz, como opera
- Coleta informações relevantes — públicas e expostas
- Entende o ambiente — tecnologias, processos, pessoas
- Descobre superfícies expostas — domínios, APIs, serviços
- Mapeia rotas possíveis de invasão — vetores de ataque
Definição Simples
Recon é investigar antes de atacar.
Não é invasão. Não é exploração. Não é ataque.
Recon é informação.
Por que Recon é a Fase Mais Importante
Porque ele define tudo que virá depois. Quando o Recon é bem feito:
O Princípio Militar: "Conhecer antes de atacar"
Recon vem exatamente do conceito militar: Você vence um conflito antes da batalha, através de inteligência.
Exército nenhum entra em campo sem saber:
Contexto Militar
- Quem é o inimigo
- Onde estão as defesas
- Como ele opera
- Onde estão os pontos fracos
No Pentest
- O "inimigo" = superfície vulnerável
- O "terreno" = estrutura da empresa
- As "forças" = tecnologias, equipes
- Os "pontos fracos" = misconfigs, leaks
Quem faz Recon correto ataca com vantagem injusta. Recon é a inteligência que define o ataque.
Conexão com a Cyber Kill Chain
A Cyber Kill Chain possui 7 etapas, e a primeira é Reconnaissance. É aqui que você:
- Define os alvos
- Coleta dados públicos
- Identifica superfícies
- Mapeia nomes, e-mails, tecnologias, domínios, stack, leaks, parceiros, rotinas
Sem esse passo, as etapas seguintes ficam: Mais lentas, mais barulhentas, menos precisas e menos efetivas.
Na Kill Chain, Recon é o ponto onde o atacante escolhe a estratégia. Se Recon for fraco, o ataque inteiro fica fraco.
Os 3 Pilares do Information Gathering
Recon é dividido em três pilares complementares. Primeiro entendemos a empresa, depois as pessoas que a operam e por último a superfície técnica.
BUSINESS
Entender a empresa como organização
- Identidade corporativa
- Estrutura operacional
- Tecnologias internas
- Parceiros e fornecedores
- Setores críticos
PEOPLE
Entender quem trabalha dentro da empresa
- Nome, cargo e setor
- E-mails e padrões
- Funcionários de TI, Dev, Marketing
- Presença online
- Credenciais vazadas
INFRASTRUCTURE
Mapear a superfície exposta na internet
- Domínios e subdomínios
- DNS, IPs e ASN
- Tecnologias usadas
- Certificados digitais
- Serviços abertos
Information Gathering: Business
É a fase do Recon onde você analisa a empresa como organização, antes de olhar para pessoas ou infraestrutura.
O que você identifica:
| Aspecto | O que buscar |
|---|---|
| Identidade | Quem é a empresa (legal e corporativa) |
| Funcionamento | Como ela funciona (setores, times, processos) |
| Tecnologias | Quais tecnologias usa (vagas, posts, fornecedores) |
| Operação | Como ela opera (serviços, produtos, fluxo de dinheiro) |
Por que é importante:
- Economia de Tempo: Descobre "quem é quem" antes do Recon técnico. Evita atacar sistemas não críticos.
- Determina Impacto: Uma falha no checkout ≠ uma falha num blog. Business ajuda a priorizar.
- Revela Tecnologias: Vagas → stack completa. Parcerias → integrações. Fornecedor → pontos fracos.
- Define Prioridades: Se usa AWS S3 → olha buckets. Se usa Laravel → busca /storage, /admin, /api.
Checklist de Coleta:
Identidade
- Razão social e CNPJ
- Endereços físicos
- Setores de atuação
- Filiais e CNAE
Tecnologias
- Linguagens (via vagas)
- Frameworks
- Banco de dados
- Cloud (AWS, Azure, GCP)
Parceiros
- Portais externos
- Integradores
- Gateways de pagamento
- ERP, CRM, automações
Information Gathering: People
É a parte do Recon dedicada a identificar quem são as pessoas que operam a empresa.
O que você mapeia:
| Aspecto | O que buscar |
|---|---|
| Quem trabalha | Funcionários, terceirizados, parceiros |
| Acesso | Quem tem acesso a sistemas críticos |
| Hierarquia | Quem é sênior, quem é júnior |
| Times | TI, Dev, Marketing, Financeiro |
Por que é importante:
- Elo Mais Fraco: O ser humano é mais vulnerável que qualquer firewall. Password reuse, boa fé, exposição excessiva.
- Maioria dos Ataques: Phishing, vishing, smishing, spear phishing começam por pessoas. Sem People Recon, vira chute.
- Revela Setores: Quem é o analista de TI, o Dev do backend, a pessoa do suporte. Cada pessoa pode virar um vetor.
- Credenciais Vazadas: E-mails corporativos, senhas vazadas, tokens expostos, GitHub com acesso.
Checklist de Coleta:
Identidade
- Nome completo e cargo
- Setor e tempo de empresa
- Localidade e promoções
E-mails
- nome.sobrenome@empresa.com
- inicial.sobrenome
- primeira.letra + sobrenome
Presença Online
- LinkedIn, GitHub, GitLab
- Behance, Instagram, Twitter
- Credenciais vazadas (leaks)
Information Gathering: Infrastructure
É a fase do Recon dedicada a mapear tudo que a empresa tem exposto na internet. É a parte mais técnica do Recon.
O que você mapeia:
| Aspecto | O que buscar |
|---|---|
| Domínios | Domínios e subdomínios |
| Rede | DNS, IPs, servidores, ASN |
| Tecnologias | Stack, frameworks, CMS |
| Serviços | Portas, APIs, certificados |
Por que é importante:
- Superfície Real: Revela a superfície real de ataque. A maioria das empresas não sabe tudo que está exposto.
- Erros de Configuração: Mais comuns que vulnerabilidades de código. Diretórios expostos, chaves no robots.txt, buckets públicos.
- Alvos Invisíveis: Encontra alvos que scanners comuns ignoram. Recon manual + automação >> scanner padrão.
Checklist de Coleta:
Domínios e DNS
- Domínio raiz e subdomínios
- Registros A, CNAME, TXT, MX
- SPF, DMARC, DKIM
- Zone transfer e enumeração
Rede e Serviços
- IPs, ASN e ranges públicos
- Provedores (Cloudflare, AWS)
- Portas expostas
- Serviços ativos
Web e Tecnologias
- Endpoints e arquivos sensíveis
- Frameworks e CMS
- Certificados digitais
- WAF, CDNs e cache
Conectando Tudo: Da Informação ao Ataque
Os três tipos de Recon não são separados — eles se complementam. Um pentester profissional nunca usa cada um isoladamente.
┌─────────────────────────────────────────────────────────────────┐
│ │
│ 🟦 BUSINESS 🟩 PEOPLE 🟥 INFRASTRUCTURE │
│ ──────────── ────────── ───────────────── │
│ Quem é a empresa Quem opera Onde atacar │
│ Tecnologias E-mails Subdomínios │
│ Prioridades Times críticos APIs expostas │
│ Parceiros Credenciais Misconfigs │
│ │
│ ┌─────────────┐ │
│ │ VETOR DE │ │
│ │ ATAQUE │ │
│ └─────────────┘ │
│ │
│ Contexto + Identidade Humana + Superfície Técnica = SUCESSO │
│ │
└─────────────────────────────────────────────────────────────────┘
A Arte de Montar o Vetor de Ataque
O vetor de ataque é a conexão lógica que transforma informação em ação.
Isso é montar vetor de ataque. Não é sorte. Não é "scan". É Recon inteligente.
Recon Passivo vs Ativo
Recon Passivo
Você coleta informações sem interagir com o alvo.
- Google, LinkedIn, Shodan
- Wayback Machine, crt.sh
- DNS lookup público
- Pastebin, Leaks, GitHub
- Vagas de emprego
Zero requisições diretas.
Recon Ativo
Você interage com o alvo.
- Requisições HTTP
- Brute force de diretórios
- Enumerar portas
- DNS brute
- Fingerprinting manual
Envia pacotes. Gera log. Mais invasivo.
Quando usar cada um:
| Tipo | Quando usar |
|---|---|
| Passivo | Início do pentest, evitar alarmes, testes Black Box, mapear macro |
| Ativo | Após mapear tudo no passivo, confirmar stack, enumerar detalhes, buscar vulns |
Exemplo Real: Da Vaga de Emprego ao RCE
"Como encontramos uma falha crítica começando por uma vaga de emprego..."
Fase 1: Business Recon
Encontramos uma vaga de emprego:
"Dev Backend com experiência em: Laravel, Redis, AWS S3, GitHub Actions."
Essa única frase entregou: framework, banco de cache, storage, CI/CD. Sem enviar um único pacote.
Fase 2: People Recon
LinkedIn revelou um funcionário do marketing que expôs uma URL em um print:
https://staging.empresa.com/painel-admin
Agora sabemos: existe ambiente de staging, existe painel admin, é acessível via internet.
Fase 3: Infra Recon + Exploração
Testamos staging.empresa.com → debug habilitado, stack trace exibindo versão do Laravel.
CVE-2021-3129 explorável → RCE → acesso ao .env → credenciais de banco → dump completo.
Lição
Tudo isso começou com uma vaga de emprego.
Não com scanner. Não com brute force. Começou com inteligência.
Como o Recon Acelera o Pentest
Conclusão: O Pentester Vence Antes da Primeira Requisição
Recon não é sobre ferramentas
Você pode usar Shodan, Subfinder, Amass, Nmap, WhatWeb, Wappalyzer... Mas se não souber o que buscar, nada disso importa.
Recon é uma habilidade mental, não uma ferramenta.
Recon é sobre inteligência
É pensamento estratégico:
- Conectar dados aparentemente desconexos
- Encontrar padrões onde outros veem ruído
- Unir peças soltas em um quebra-cabeça
- Entender o contexto do negócio
- Enxergar o invisível
Pentester Comum
"Vou rodar Nmap."
Pentester Profissional
"Vou primeiro entender a empresa."
A Mensagem Final
A batalha é vencida quando você:
- Encontra a stack na vaga
- Acha o estagiário com Git público
- Descobre o subdomínio esquecido
- Vê o certificado expondo serviços
- Acha o endpoint de staging
- Entende o processo do negócio
"O Pentester não ganha na exploração. Ele ganha na inteligência. Recon é onde a vitória acontece."