Métodos de coletas de informações
IANA
A IANA é responsável por coordenar alguns elementos chaves para o funcionamento da internet, como por exemplo, gerenciamento dos root servers (servidores DNS principais da internet), coordenação de números de endereços IP e ASN (Autonomus System Numbers) e registro de protocolos.
Whois
O Whois é um protocolo que trabalha na porta 43 tcp. Quando consultamos um domínio no whois da IANA, ele mostra quem é a autoridade por aquele domínio.
RDAP
Por conta de alguns problemas de padronizações de resposta no protocolo whois, foi criado o protocolo RDAP, afim de consertar isso. A ideia basicamente é a mesma, porém ele traz uma resposta padronizada.
Pesquisa por IP
Para começarmos a mapear a infra pelos ips, podemos utilizar dois sites que facilita esse processo e exibe o bloco de ip.
Porém, temos que nos atentar que um determinado ip pode estar por trás de um serviço contratado de uma empresa. Se dermos um whois no ip do Itaú, por exemplo, ele irá trazer as informações da Akamai, que é a empresa contratada. Para descobrirmos o real ip para mapearmos, precisamos utilizar o comando host para resolver esse hostname.
Agora podemos utilizar o whois no endereço ip exibido que irá ser trago as informações do Itaú.
Shodan
Shodan é um mecanismo de busca para encontrar dispositivos online. Alguns operadores que podemos utilizar na busca são:
hostname:
os:
port:
ip:
net:
country:
city:
geo:
org:
" "
Censys
O Censys também é uma outra plataforma para coleta de informações de forma passiva.
Pesquisa Domain Name System (DNS)
Os principais registros DNS são:
SOA - Start of authority (responsável pelo domínio)
A - Endereço IPV4
AAAA - Endereço IPV6
NS - Name server (servidores de nomes)
CNAME - Canonical name (apelido/alias)
MX - Mail Exchange (servidor de e-mail)
PTR - Poiter (mapeia ip para nome)
HINFO - Host information (informações do host)
TXT - Text string (exemplo: SPF)
Podemos utilizar o comando host para fazer as consultas.
Transferência de Zona
Um domínio precisa de no mínimo 2 servidores de nomes. O servidor primário mantém um registro com todas as entradas DNS. O servidor secundário funciona como se fosse um "backup" caso aconteça do servidor primário não funcionar e para que isso aconteça corretamente, é necessário que ambos tenham os arquivos sincronizados. Quando o servidor primário possui mais entradas DNS que o secundário, ele irá forçar uma transferência de zona para que tenham os arquivos sincronizados.
Com isso, podemos utilizar o parâmetro -l para listar todos hosts do domínio utilizando a consulta AXFR que é a de transferência de zona.
Pesquisa reversa
Algumas vezes na pesquisa reversa, pesquisando por ip (resolvendo o registro PTR) podemos encontrar alguns subdomínios. Precisamos saber qual o range de ips e utilizar o script simples abaixo.
Analisando SPF
O SPF (Sender Policy Framework) é responsável por identificar quais servidores estão autorizados a enviar e-mail o nome do seu domínio. Se não tiver essa configuração ou se estiver mal feita, uma pessoa consegue fazer um email spoofing através de um e-mail desse domínio. Podemos validar isso de acordo com as configurações:
?all = suscetível (neutro) O e-mail irá cair na caixa de entrada.
~all = suscetível (é tratado como suspeito) O e-mail pode cair na caixa de entrada mas a grande chance é de ir para o spam.
-all = configuração recomendada
Utilizamos o comando host para sabermos como está configurado o SPF no servidor.
Podemos também gerar o e-mail falso utilizando uma ferramenta chamada emkei.
Subdomain Takeover
O subdomain takeover é basicamente tomar controle de um subdomínio. Essa falha ocorre quando o CNAME de um subdomínio aponta para um outro subdomínio que está desativado. O problema é que a entrada de DNS foi criada mas o serviço que a empresa utilizava foi cancelado/eliminado/migrou de serviço e não utiliza esse domínio mais. Esse serviço que foi deixado de ser utilizado, ainda fica disponível para registro, com isso o subdomínio pode ser "tomado" e assim controlado. Para verificarmos se um subdomínio possui o alias, ou seja, se aponta para algum outro endereço, utilizamos o comando host com o parâmetro do cname. Caso for positivo, irá vir de acordo com a mensagem abaixo, após isso basta acessar o outro domínio e verificar se está sendo utilizado ou não.
Tools DNS
É interessante também procurarmos por ferramentas já prontas para fazer o reconhecimento de DNS. Uma delas é o dnsenum. Usa-se dessa forma.
Serviços para pesquisa passiva
Existem alguns serviços que podemos coletar informações do alvo de uma forma passiva, sem gerar log no servidor que estamos testando. Alguns deles são o dnsdumpster e o securitytrails.
Coleta através de certificados digitais
Quando um site utiliza o certificado SSL, para adicionar mais uma camada de segurança, foi criado um projeto para manter um log de todas as emissões de certificados que acontecem. Com isso, podemos descobrir subdomínios que emitiram certificados uma vez que é armazenado esse log e ele é público.
Last updated