En cualquier proyecto de hacking ético, es fundamental analizar el dominio del cliente para obtener la mayor cantidad de información posible. En este artículo, encontrará diferentes herramientas y estrategias para recopilar esta información.
Dominios
En esta sección, explicamos estrategias y herramientas para analizar un dominio de red.
WHOIS: información del nombre de dominio
El Whois es un servicio, herramienta y base de datos que permite consultar un repositorio en Internet para recuperar información sobre la propiedad de un nombre de dominio o una dirección IP.
Cuando una organización solicita un nombre de dominio a su Proveedor de Servicios de Internet (ISP), esta información es registrada en la base de datos Whois correspondiente.
Esta información suele ser pública ya que los registradores cobran una tarifa por el registro privado.
Se puede usar whois para obtener información detallada sobre el dominio, incluido su propietario, su registrador, fecha de registro, vencimiento, servidor de nombres, información de contacto del propietario, etc.
Podemos realizar consultas a la base de datos Whois sin necesitar ningún permiso del propietario del dominio porque se trata de información pública.
Whois en línea de comandos
Para ejecutar una búsqueda directa estándar, puede utilizar el nombre de dominio en el cliente whois en la línea de comandos. Por ejemplo:
whois [nombre_de_dominio]
Con este comando, puede descubrir información valiosa, como quién registró el nombre de dominio.
También podemos encontrar los servidores de nombres de la empresa. Los servidores de nombres son un componente de DNS, que analizamos en esta publicación.
Además, para esta búsqueda directa estándar, que recopila información sobre un nombre DNS, el cliente whois puede realizar búsquedas inversas. Suponiendo que tenemos una dirección IP, podemos recopilar más información al respecto:
whois [dirección_IP]
Los resultados de la búsqueda inversa nos brindan información sobre quién aloja la dirección IP. Esta información podría ser útil más adelante, y como con toda la información que recopilamos, la agregaremos a sus notas de documentación.
Consultas online a whois
Cuando el nombre pertenece a un dominio de primer nivel (.com, .org, .net, .biz, .mil, etc.) suele ser el ARIN (Registro Americano de Números de Internet) quien guarda esta información en su base de datos whois.
Cuando el dominio pertenece a un país (ec, .co, .us, .uk, etc.) esta información suele ser guardada por el NIC (Network Information Center) del respectivo país.
Si queremos obtener información de una empresa que utiliza un dominio de nivel superior, puede ir al sitio web de ARIN y en el cuadro llamado «buscar whoisRWS» ingrese el nombre de la organización que desea buscar para obtener una lista de todos. las direcciones IP asignadas a la empresa.
También puede acceder al whois utilizando otros sitios en línea como este.
Contramedida para reconocimiento whois
El whois contiene información confidencial sobre una empresa que debería ser privada.
Por ello, una recomendación es pagar al respectivo NIC para mantener nuestra información privada. Este es un servicio que suele ofrecer el NIC por un monto anual bastante modesto.
Rangos de direcciones IP
Encontrar la dirección IP de un sistema de destino es esencial para tener una mejor idea de la superficie de ataque que puede explotar.
Los sitios pequeños pueden tener una sola dirección IP, pero los sitios web más grandes suelen tener varias direcciones IP que sirven a diferentes dominios y subdominios. En esta sección, hablaremos sobre cómo encontrar los rangos de direcciones IP de una empresa.
Ping
La forma más tradicional de obtener una dirección IP del nombre de dominio es usar el comando ping.
ping [domain_name]
Sin embargo, este enfoque le brindará información limitada, ya que le permite obtener la dirección IP principal del servidor web detrás de la página web.
No le brinda el rango completo de direcciones de red pública de la empresa. Cuando desee que los rangos completos de direcciones IP sean propiedad de una empresa, deberá utilizar otras herramientas.
Whois
El comando Whois también puede brindar información sobre los rangos de direcciones IP públicas.
Nslookup
También podemos usar servidores DNS para obtener la dirección IP de un dominio. La herramienta Nslookup disponible en la línea de comandos puede ayudarlo.
nslookup [domain_name]
o
# nslookup > set type=mx > [domain_name]
Rastreando sus servidores
Otro mecanismo para obtener sus direcciones IP es buscar el sitio web, el correo electrónico y el servidor DNS de la empresa.
En el caso del correo electrónico, necesitamos recibir un correo electrónico de nuestro cliente para analizar los datos del encabezado del correo electrónico.
Para el análisis, podemos usar cualquier herramienta de seguimiento de correo electrónico o podemos revisar manualmente el encabezado del correo electrónico de su cliente de correo electrónico y determinar la dirección IP de origen.
Otras técnicas
Cuando se trata de pequeñas o medianas empresas, la dirección pública y los servidores se alojan en servicios de hosting compartido. Puede resolver esto fácilmente realizando búsquedas inversas de esa dirección.
Los enfoques anteriores pueden no ser efectivos cuando el cliente no posee ninguna subred. Por ejemplo, si utiliza hosting o instancias virtuales en proveedores de nube populares y redes de terceros.
En este caso, una forma de detectar sus direcciones IP de red pública es mediante el uso de comandos Nmap con scripts NSE populares como DNS-brute.
Hosts virtuales (vhosts) en una dirección IP
Un solo servidor web puede configurarse para ejecutar varios sitios web con diferentes nombres de dominio.
La herramienta en línea Pentest-tools permite descubrir sitios web que están alojados en la misma dirección IP.
Estos se denominan hosts virtuales (vhosts) y generalmente se encuentran en entornos de alojamiento compartido.
Es importante encontrar todos los vhosts, ya que los otros sitios web pueden ser menos seguros que el sitio web principal y pueden ayudarlo a obtener acceso al objetivo.
Además, si un sitio web se ve comprometido, existe una alta probabilidad de que el atacante obtenga acceso no autorizado a los otros sitios web que también se ejecutan en el mismo servidor. Por lo tanto, es necesario probar todos los vhosts para una cobertura completa.
Síguenos en las redes sociales
Más artículos que podrían interesarte
