Métodos de coletas de informações
Last updated
Was this helpful?
Last updated
Was this helpful?
A IANA é responsável por coordenar alguns elementos chaves para o funcionamento da internet, como por exemplo, gerenciamento dos root servers (servidores DNS principais da internet), coordenação de números de endereços IP e ASN (Autonomus System Numbers) e registro de protocolos.
O Whois é um protocolo que trabalha na porta 43 tcp. Quando consultamos um domínio no whois da IANA, ele mostra quem é a autoridade por aquele domínio.
Por conta de alguns problemas de padronizações de resposta no protocolo whois, foi criado o protocolo RDAP, afim de consertar isso. A ideia basicamente é a mesma, porém ele traz uma resposta padronizada.
Para começarmos a mapear a infra pelos ips, podemos utilizar dois sites que facilita esse processo e exibe o bloco de ip.
Porém, temos que nos atentar que um determinado ip pode estar por trás de um serviço contratado de uma empresa. Se dermos um whois no ip do Itaú, por exemplo, ele irá trazer as informações da Akamai, que é a empresa contratada. Para descobrirmos o real ip para mapearmos, precisamos utilizar o comando host para resolver esse hostname.
Agora podemos utilizar o whois no endereço ip exibido que irá ser trago as informações do Itaú.
Shodan é um mecanismo de busca para encontrar dispositivos online. Alguns operadores que podemos utilizar na busca são:
hostname:
os:
port:
ip:
net:
country:
city:
geo:
org:
" "
O Censys também é uma outra plataforma para coleta de informações de forma passiva.
Os principais registros DNS são:
SOA - Start of authority (responsável pelo domínio)
A - Endereço IPV4
AAAA - Endereço IPV6
NS - Name server (servidores de nomes)
CNAME - Canonical name (apelido/alias)
MX - Mail Exchange (servidor de e-mail)
PTR - Poiter (mapeia ip para nome)
HINFO - Host information (informações do host)
TXT - Text string (exemplo: SPF)
Podemos utilizar o comando host para fazer as consultas.
Um domínio precisa de no mínimo 2 servidores de nomes. O servidor primário mantém um registro com todas as entradas DNS. O servidor secundário funciona como se fosse um "backup" caso aconteça do servidor primário não funcionar e para que isso aconteça corretamente, é necessário que ambos tenham os arquivos sincronizados. Quando o servidor primário possui mais entradas DNS que o secundário, ele irá forçar uma transferência de zona para que tenham os arquivos sincronizados.
Com isso, podemos utilizar o parâmetro -l para listar todos hosts do domínio utilizando a consulta AXFR que é a de transferência de zona.
Algumas vezes na pesquisa reversa, pesquisando por ip (resolvendo o registro PTR) podemos encontrar alguns subdomínios. Precisamos saber qual o range de ips e utilizar o script simples abaixo.
O SPF (Sender Policy Framework) é responsável por identificar quais servidores estão autorizados a enviar e-mail o nome do seu domínio. Se não tiver essa configuração ou se estiver mal feita, uma pessoa consegue fazer um email spoofing através de um e-mail desse domínio. Podemos validar isso de acordo com as configurações:
?all = suscetível (neutro) O e-mail irá cair na caixa de entrada.
~all = suscetível (é tratado como suspeito) O e-mail pode cair na caixa de entrada mas a grande chance é de ir para o spam.
-all = configuração recomendada
Utilizamos o comando host para sabermos como está configurado o SPF no servidor.
Podemos também gerar o e-mail falso utilizando uma ferramenta chamada emkei.
O subdomain takeover é basicamente tomar controle de um subdomínio. Essa falha ocorre quando o CNAME de um subdomínio aponta para um outro subdomínio que está desativado. O problema é que a entrada de DNS foi criada mas o serviço que a empresa utilizava foi cancelado/eliminado/migrou de serviço e não utiliza esse domínio mais. Esse serviço que foi deixado de ser utilizado, ainda fica disponível para registro, com isso o subdomínio pode ser "tomado" e assim controlado. Para verificarmos se um subdomínio possui o alias, ou seja, se aponta para algum outro endereço, utilizamos o comando host com o parâmetro do cname. Caso for positivo, irá vir de acordo com a mensagem abaixo, após isso basta acessar o outro domínio e verificar se está sendo utilizado ou não.
É interessante também procurarmos por ferramentas já prontas para fazer o reconhecimento de DNS. Uma delas é o dnsenum. Usa-se dessa forma.
Existem alguns serviços que podemos coletar informações do alvo de uma forma passiva, sem gerar log no servidor que estamos testando. Alguns deles são o dnsdumpster e o securitytrails.
Quando um site utiliza o certificado SSL, para adicionar mais uma camada de segurança, foi criado um projeto para manter um log de todas as emissões de certificados que acontecem. Com isso, podemos descobrir subdomínios que emitiram certificados uma vez que é armazenado esse log e ele é público.
