Métodos de coletas de informações

IANA

A IANA é responsável por coordenar alguns elementos chaves para o funcionamento da internet, como por exemplo, gerenciamento dos root servers (servidores DNS principais da internet), coordenação de números de endereços IP e ASN (Autonomus System Numbers) e registro de protocolos.

Whois

O Whois é um protocolo que trabalha na porta 43 tcp. Quando consultamos um domínio no whois da IANA, ele mostra quem é a autoridade por aquele domínio.

RDAP

Por conta de alguns problemas de padronizações de resposta no protocolo whois, foi criado o protocolo RDAP, afim de consertar isso. A ideia basicamente é a mesma, porém ele traz uma resposta padronizada.

Pesquisa por IP

Para começarmos a mapear a infra pelos ips, podemos utilizar dois sites que facilita esse processo e exibe o bloco de ip.

Porém, temos que nos atentar que um determinado ip pode estar por trás de um serviço contratado de uma empresa. Se dermos um whois no ip do Itaú, por exemplo, ele irá trazer as informações da Akamai, que é a empresa contratada. Para descobrirmos o real ip para mapearmos, precisamos utilizar o comando host para resolver esse hostname.

user@xubuntu:~$ host itau.com.br
itau.com.br has address 104.73.88.118
itau.com.br mail is handled by 1 post01.itau.com.br.
itau.com.br mail is handled by 1 post02.itau.com.br.

user@xubuntu:~$ host post01.itau.com.br
post01.itau.com.br has address 200.196.152.9

Agora podemos utilizar o whois no endereço ip exibido que irá ser trago as informações do Itaú.

Shodan

Shodan é um mecanismo de busca para encontrar dispositivos online. Alguns operadores que podemos utilizar na busca são:

  • hostname:

  • os:

  • port:

  • ip:

  • net:

  • country:

  • city:

  • geo:

  • org:

  • " "

Censys

O Censys também é uma outra plataforma para coleta de informações de forma passiva.

Pesquisa Domain Name System (DNS)

Os principais registros DNS são:

  • SOA - Start of authority (responsável pelo domínio)

  • A - Endereço IPV4

  • AAAA - Endereço IPV6

  • NS - Name server (servidores de nomes)

  • CNAME - Canonical name (apelido/alias)

  • MX - Mail Exchange (servidor de e-mail)

  • PTR - Poiter (mapeia ip para nome)

  • HINFO - Host information (informações do host)

  • TXT - Text string (exemplo: SPF)

Podemos utilizar o comando host para fazer as consultas.

user@xubuntu:~/Desktop$ host -t A businesscorp.com.br
businesscorp.com.br has address 37.59.174.225

user@xubuntu:~/Desktop$ host -t txt businesscorp.com.br
businesscorp.com.br descriptive text "v=spf1 include:key-9283947588214 ?all"

Transferência de Zona

Um domínio precisa de no mínimo 2 servidores de nomes. O servidor primário mantém um registro com todas as entradas DNS. O servidor secundário funciona como se fosse um "backup" caso aconteça do servidor primário não funcionar e para que isso aconteça corretamente, é necessário que ambos tenham os arquivos sincronizados. Quando o servidor primário possui mais entradas DNS que o secundário, ele irá forçar uma transferência de zona para que tenham os arquivos sincronizados. 

user@xubuntu:~$ host -t ns businesscorp.com.br
businesscorp.com.br name server ns1.businesscorp.com.br.
businesscorp.com.br name server ns2.businesscorp.com.br.

Com isso, podemos utilizar o parâmetro -l para listar todos hosts do domínio utilizando a consulta AXFR que é a de transferência de zona.

user@xubuntu:~$ host -l businesscorp.com.br ns2.businesscorp.com.br
Using domain server:
Name: ns2.businesscorp.com.br
Address: 37.59.174.226#53
Aliases: 

businesscorp.com.br name server ns1.businesscorp.com.br.
businesscorp.com.br name server ns2.businesscorp.com.br.
businesscorp.com.br has address 37.59.174.225
desafio.businesscorp.com.br has address 37.59.174.226
ftp.businesscorp.com.br has address 37.59.174.225
infrasecreta.businesscorp.com.br has address 37.59.174.225
intranet.businesscorp.com.br has address 37.59.174.228
mail.businesscorp.com.br has address 37.59.174.227
ns1.businesscorp.com.br has address 37.59.174.225
ns2.businesscorp.com.br has address 37.59.174.226
parsingok.businesscorp.com.br has address 37.59.174.225
piloto.businesscorp.com.br has address 37.59.174.230
rh.businesscorp.com.br has address 37.59.174.229
srvkey.businesscorp.com.br has address 37.59.174.235
www.businesscorp.com.br has address 37.59.174.225

Pesquisa reversa

Algumas vezes na pesquisa reversa, pesquisando por ip (resolvendo o registro PTR) podemos encontrar alguns subdomínios. Precisamos saber qual o range de ips e utilizar o script simples abaixo.

for ip in $(seq 224 239); do host 37.59.174.$ip; done

Analisando SPF

O SPF (Sender Policy Framework) é responsável por identificar quais servidores estão autorizados a enviar e-mail o nome do seu domínio. Se não tiver essa configuração ou se estiver mal feita, uma pessoa consegue fazer um email spoofing através de um e-mail desse domínio. Podemos validar isso de acordo com as configurações:

  • ?all = suscetível (neutro) O e-mail irá cair na caixa de entrada.

  • ~all = suscetível (é tratado como suspeito) O e-mail pode cair na caixa de entrada mas a grande chance é de ir para o spam.

  • -all = configuração recomendada

Utilizamos o comando host para sabermos como está configurado o SPF no servidor.

user@xubuntu:~$ host -t txt businesscorp.com.br
businesscorp.com.br descriptive text "v=spf1 include:key-9283947588214 ?all"

Podemos também gerar o e-mail falso utilizando uma ferramenta chamada emkei.

Subdomain Takeover

O subdomain takeover é basicamente tomar controle de um subdomínio. Essa falha ocorre quando o CNAME de um subdomínio aponta para um outro subdomínio que está desativado. O problema é que a entrada de DNS foi criada mas o serviço que a empresa utilizava foi cancelado/eliminado/migrou de serviço e não utiliza esse domínio mais. Esse serviço que foi deixado de ser utilizado, ainda fica disponível para registro, com isso o subdomínio pode ser "tomado" e assim controlado. Para verificarmos se um subdomínio possui o alias, ou seja, se aponta para algum outro endereço, utilizamos o comando host com o parâmetro do cname. Caso for positivo, irá vir de acordo com a mensagem abaixo, após isso basta acessar o outro domínio e verificar se está sendo utilizado ou não.

user@xubuntu:~$ host -t cname dev.businesscorp.com.br
dev.businesscorp.com.br is an alias for devbusinesscorp.s3-sa-east-1.amazonaws.com.

Tools DNS

É interessante também procurarmos por ferramentas já prontas para fazer o reconhecimento de DNS. Uma delas é o dnsenum. Usa-se dessa forma.

dnsenum --enum businesscorp.com.br

Serviços para pesquisa passiva

Existem alguns serviços que podemos coletar informações do alvo de uma forma passiva, sem gerar log no servidor que estamos testando. Alguns deles são o dnsdumpster e o securitytrails.

Coleta através de certificados digitais

Quando um site utiliza o certificado SSL, para adicionar mais uma camada de segurança, foi criado um projeto para manter um log de todas as emissões de certificados que acontecem. Com isso, podemos descobrir subdomínios que emitiram certificados uma vez que é armazenado esse log e ele é público.

PreviousInformation Gathering - INFRANextInformation Gathering - Web

Last updated