Fase 01 (Whois e TraceRoute)

Publicado por Igor Matsunaga em

Fala galera, nesse post irei demostrar como colher informações de um IP para a fase de reconhecimento. Primeiramente vou ensinar com realizar consultas Whois e Traceroute, e posteriormente falaremos sobre DNS, DNS reverso, GeoIP e etc..

Reconhecimento (Fase 1)

O primeiro passo do atacante é identificar alvos em potencial. Geralmente os invasores são motivados por ganhos financeiros, acesso a informações confidenciais, danos ao patrimônio privado ou governamentais.

O invasor pode coletar informações a partir do Linkedin, Facebook, site corporativo, mapear a cadeia de suprimentos, obter projetos, informações sobre sistema de segurança e pontos de entrada disponíveis. Eles podem até visitar o prédio da empresa, um evento ou ligar para algum funcionário. Um invasor ainda pode criar empresas, e-mails, domínios, perfis falsos para fins de engenharia social.

Uma vez que o atacante define quais defesas estão no lugar, ele escolhe suas armas. O vetor selecionado é muitas vezes impossível de prevenir ou detectar. Pode se tratar de um Zero-day, uma campanha de spear-phishing ou até mesmo subornar um funcionário. Geralmente tem um impacto mínimo.

Todas os pacotes demostrados aqui vem instalados como padrão no Kali LInux.

Whois

WHOIS (pronuncia-se “ruís” no Brasil) é um protocolo TCP (porta 43) específico para consultar informações de contato e DNS sobre entidades na internet.

Uma entidade na internet pode ser um nome de domínio, um endereço IP ou um AS (Sistema Autônomo).

Para cada entidade, o protocolo WHOIS apresenta três tipos de contato: Contato Administrativo (Admin Contact), Contato Técnico (Technical Contact) e Contato de Cobrança (Billing Contact). Estes contatos são informações de responsabilidade do provedor de internet, que as nomeia de acordo com as políticas internas de sua rede.

Para os registros de domínios, os usuários tem a opção de optar por um Whois privado, que esconde os dados do dono do domínio. Essa opção é oferecida de graça por alguns provedores e por um valor anual, por outras.

Para verificar a ajuda utilize o comando:

# whois -h
[email protected]:~# whois -h
whois: a opção requer um argumento -- h
Usage: whois [OPTION]... OBJECT...

-h HOST, --host HOST   connect to server HOST
-p PORT, --port PORT   connect to PORT
-H                     hide legal disclaimers
      --verbose        explain what is being done
      --help           display this help and exit
      --version        output version information and exit

These flags are supported by whois.ripe.net and some RIPE-like servers:
-l                     find the one level less specific match
-L                     find all levels less specific matches
-m                     find all one level more specific matches
-M                     find all levels of more specific matches
-c                     find the smallest match containing a mnt-irt attribute
-x                     exact match
-b                     return brief IP address ranges with abuse contact
-B                     turn off object filtering (show email addresses)
-G                     turn off grouping of associated objects
-d                     return DNS reverse delegation objects too
-i ATTR[,ATTR]...      do an inverse look-up for specified ATTRibutes
-T TYPE[,TYPE]...      only look for objects of TYPE
-K                     only primary keys are returned
-r                     turn off recursive look-ups for contact information
-R                     force to show local copy of the domain object even
                       if it contains referral
-a                     also search all the mirrored databases
-s SOURCE[,SOURCE]...  search the database mirrored from SOURCE
-g SOURCE:FIRST-LAST   find updates from SOURCE from serial FIRST to LAST
-t TYPE                request template for object of TYPE
-v TYPE                request verbose template for object of TYPE
-q [version|sources|types]  query specified server info

Sintaxe

Para realizar uma consulta utilize o comando:

# whois  <IP ou Domínio>

Coma

[email protected]:~# whois facebook.com
   Domain Name: FACEBOOK.COM
   Registry Domain ID: 2320948_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.registrarsafe.com
   Registrar URL: http://www.registrarsafe.com
   Updated Date: 2018-07-23T18:17:13Z
   Creation Date: 1997-03-29T05:00:00Z
   Registry Expiry Date: 2028-03-30T04:00:00Z
   Registrar: RegistrarSafe, LLC
   Registrar IANA ID: 3237
   Registrar Abuse Contact Email: [email protected]
   Registrar Abuse Contact Phone: +1-650-308-7004
   Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Domain Status: serverDeleteProhibited https://icann.org/epp#serverDeleteProhibited
   Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
   Domain Status: serverUpdateProhibited https://icann.org/epp#serverUpdateProhibited
   Name Server: A.NS.FACEBOOK.COM
   Name Server: B.NS.FACEBOOK.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2019-02-08T13:26:59Z <<<

For more information on Whois status codes, please visit https://icann.org/epp

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar.  Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability.  VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.
Domain Name: FACEBOOK.COM
Registry Domain ID: 2320948_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.registrarsafe.com
Registrar URL: https://www.registrarsafe.com
Updated Date: 2018-07-23T18:17:13Z
Creation Date: 1997-03-29T05:00:00Z
Registrar Registration Expiration Date: 2028-03-30T04:00:00Z
Registrar: RegistrarSafe, LLC
Registrar IANA ID: 3237
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.6503087004
Domain Status: clientUpdateProhibited https://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientDeleteProhibited https://www.icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Domain Status: serverDeleteProhibited https://www.icann.org/epp#serverDeleteProhibited
Domain Status: serverTransferProhibited https://www.icann.org/epp#serverTransferProhibited
Domain Status: serverUpdateProhibited https://www.icann.org/epp#serverUpdateProhibited
Registry Registrant ID: 
Registrant Name: Domain Admin
Registrant Organization: Facebook, Inc.
Registrant Street: 1601 Willow Rd 
Registrant City: Menlo Park
Registrant State/Province: CA
Registrant Postal Code: 94025
Registrant Country: US
Registrant Phone: +1.6505434800
Registrant Phone Ext:
Registrant Fax: +1.6505434800
Registrant Fax Ext:
Registrant Email: [email protected]
Registry Admin ID: 
Admin Name: Domain Admin
Admin Organization: Facebook, Inc.
Admin Street: 1601 Willow Rd 
Admin City: Menlo Park
Admin State/Province: CA
Admin Postal Code: 94025
Admin Country: US
Admin Phone: +1.6505434800
Admin Phone Ext:
Admin Fax: +1.6505434800
Admin Fax Ext:
Admin Email: [email protected]
Registry Tech ID: 
Tech Name: Domain Admin
Tech Organization: Facebook, Inc.
Tech Street: 1601 Willow Rd 
Tech City: Menlo Park
Tech State/Province: CA
Tech Postal Code: 94025
Tech Country: US
Tech Phone: +1.6505434800
Tech Phone Ext:
Tech Fax: +1.6505434800
Tech Fax Ext:
Tech Email: [email protected]
Name Server: A.NS.FACEBOOK.COM
Name Server: B.NS.FACEBOOK.COM
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2019-02-08T13:27:18Z <<<

Search results obtained from the RegistrarSafe, LLC WHOIS database are
provided by RegistrarSafe, LLC for information purposes only, to assist
users in obtaining information concerning a domain name registration record.
The information contained therein is provided on an "as is" and "as available"
basis and RegistrarSafe, LLC does not guarantee the accuracy or completeness
of any information provided through the WHOIS database.  By submitting a WHOIS query,
you agree to the following: (1) that you will use any information provided through
the WHOIS only for lawful purposes; (2) that you will comply with all ICANN rules
and regulations governing use of the WHOIS; (3)  that you will not use any information
provided through the WHOIS to  enable, or otherwise cause the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail (i.e., spam); or
(4) that you will not use the WHOIS to enable or otherwise utilize high volume,
automated, electronic processes that apply to or attach to RegistrarSafe, LLC or
its systems. RegistrarSafe, LLC reserves the right to modify these terms
at any time and to take any other appropriate actions, including but not limited to
restricting any access that violates these terms and conditions. By submitting this
query, you acknowledge and agree to abide by the foregoing terms, conditions and policies.

For more information on Whois status codes, please visit
    https://www.icann.org/resources/pages/epp-status-codes-2014-06-16-en.

Traceroute

Rotas de rede podem ser verificadas com diferentes ferramentas, mas a ferramenta mais popular e direta é o Traceroute.

O traceroute usa principalmente pacotes ICMP

O ICMP é um protocolo desenvolvido principalmente para solução de problemas de rede e compartilhamento de informações. Os pacotes ICMP são transmitidos entre dispositivos com capacidade de rede para compartilhar informações sobre o tráfego da rede. Pacotes ICMP têm valor TTL.

Noi TTL é onde se encontram informações sobre contagem de saltos. Geralmente, todos os dispositivos de rede são um salto e, por exemplo, quando um pacote ICMP é enviado paranswrorld.com.br. 

Sintaxe

 # traceroute [opções] host [ packetlen ] 

Encontrar a Rota para o Host, Endereço Ip ou Site

O traceroute irá encontrar a rota para o destino determinado como host, endereço IP, site etc. Neste exemplo, vamos encaminhar para o site, facebook.com, mas o destino pode ser um endereço IP ou nome de host em uma rede local.  

[email protected]:~# traceroute facebook.com
traceroute to facebook.com (31.13.74.35), 30 hops max, 60 byte packets
 1  _gateway (10.0.0.1)  24.342 ms  24.116 ms  25.608 ms
 2  10.252.252.1 (10.252.252.1)  23.789 ms  30.463 ms  31.868 ms
 3  177.75.9.1 (177.75.9.1)  31.741 ms  36.008 ms  37.571 ms
 4  172.16.6.249 (172.16.6.249)  40.243 ms  40.488 ms  46.992 ms
 5  172.16.15.97 (172.16.15.97)  47.878 ms  58.794 ms  58.686 ms
 6  ebcrouter.nwi.com.br (189.85.81.5)  58.788 ms  13.320 ms  13.438 ms
 7  189.85.82.5 (189.85.82.5)  17.266 ms  7.080 ms  9.936 ms
 8  201.107.125.189.static.impsat.net.br (189.125.107.201)  40.707 ms  43.727 ms  43.651 ms
 9  ae1-200g.ar2.gig1.gblx.net (67.17.107.122)  54.562 ms  54.484 ms  56.757 ms
10  edge-network-servicesfacebook.ae33.ar2.gig1.gblx.net (64.211.51.94)  59.236 ms  60.874 ms  75.515 ms
11  po101.psw03.gig2.tfbnw.net (157.240.42.207)  75.704 ms  86.988 ms  27.749 ms
12  173.252.67.63 (173.252.67.63)  37.659 ms 173.252.67.27 (173.252.67.27)  37.970 ms 173.252.67.73 (173.252.67.73)  230.915 ms
13  edge-star-mini-shv-01-gig2.facebook.com (31.13.74.35)  230.723 ms  281.538 ms  371.821 ms

Este exemplo fornece informações sobre a rota. Existem 13 saltos para o destino.

logoNSW

Não Mostrar o Nome do Host

No exemplo anterior, os hosts são expressos com seus nomes de host. Os nomes dos hosts fornecem mais dicas sobre o host. Mas a desvantagem do nome do host é que ele deve ser resolvido. Como sabemos, toda a operação é feita com endereços IP, mas os endereços IP são expressos com seus nomes de host usando o DNS. Isso diminuirá a operação de rastreamento. A opção “-n’ pode ser usada para desabilitar a resolução do nome do host.

Sintaxe

# traceroute -n facebook.com
[email protected]:~# traceroute -n facebook.com
traceroute to facebook.com (31.13.74.35), 30 hops max, 60 byte packets
 1  * * *
 2  * 10.252.252.1  16.541 ms  16.864 ms
 3  177.75.9.1  16.744 ms  18.983 ms  18.884 ms
 4  172.16.6.249  21.888 ms  23.499 ms  23.573 ms
 5  172.16.15.97  36.448 ms  37.259 ms  37.875 ms
 6  189.85.81.5  40.878 ms  32.813 ms  32.677 ms
 7  189.85.82.5  35.985 ms  34.559 ms  43.329 ms
 8  189.125.107.201  488.368 ms  486.507 ms  486.320 ms
 9  67.17.107.122  473.456 ms  478.084 ms  479.015 ms
10  64.211.51.94  499.506 ms  498.507 ms  510.588 ms
11  204.15.20.71  494.838 ms  494.126 ms 157.240.45.201  485.018 ms
12  173.252.67.31  380.769 ms 173.252.67.107  380.403 ms 173.252.67.55  380.256 ms
13  31.13.74.35  380.126 ms  51.474 ms  51.238 ms

Definir Tempo de Resposta

Rastreando o caminho, a transmissão de pacotes ICMP ocorrerá. Nós enviaremos o pacote ICMP para o hop de destino e aguardaremos a resposta. Às vezes, essa resposta pode voltar tarde ou nunca mais voltar. Isso diminuirá a nossa operação de rastreamento de rede. Podemos definir tempo para a resposta e tornar nossa operação de rastreamento de rede mais rápida. No exemplo, definimos tempo limite para o rastreio de 1 segundo com a opção -w.

[email protected]:~# traceroute -n -w 1 facebook.com
traceroute to facebook.com (31.13.74.35), 30 hops max, 60 byte packets
 1  10.0.0.1  18.782 ms  23.569 ms  51.813 ms
 2  10.252.252.1  28.352 ms  28.201 ms  29.634 ms
 3  177.75.9.1  29.864 ms  33.029 ms  38.649 ms
 4  172.16.6.249  38.887 ms  38.768 ms  38.641 ms
 5  172.16.15.97  40.686 ms  40.815 ms  41.119 ms
 6  189.85.81.5  45.686 ms  30.165 ms  25.824 ms
 7  189.85.82.5  20.192 ms  20.025 ms  19.888 ms
 8  189.125.107.201  28.988 ms  33.144 ms  59.890 ms
 9  67.17.107.122  63.687 ms  91.228 ms  94.424 ms
10  64.211.51.94  100.627 ms  103.485 ms  104.544 ms
11  31.13.25.31  89.432 ms 204.15.20.71  89.891 ms 157.240.42.207  91.983 ms
12  173.252.67.63  97.243 ms * 173.252.67.133  112.986 ms
13  31.13.74.35  113.429 ms  113.372 ms *

Defini Número de Consultas por Salto

Nós enviamos pacotes ICMP para o hop e este hop envia de volta as respostas. Chamamos essa viagem de ida e volta como consulta. Traceroute por padrão faz 3 consultas para cada salto. Esta é uma propriedade mutável. Isso pode ser alterado com o parâmetro -q. No exemplo a seguir, definimos a contagem de consultas como 1 para cada salto.

# traceroute -n -q 1 facebook.com
[email protected]:~# traceroute -n -q 1 facebook.com
traceroute to facebook.com (31.13.85.36), 30 hops max, 60 byte packets
 1  192.168.1.1  3.307 ms
 2  *
 3  100.120.64.89  23.771 ms
 4  177.2.248.13  39.488 ms
 5  100.120.18.71  92.268 ms
 6  100.120.17.114  87.272 ms
 7  *
 8  31.13.26.34  87.090 ms
 9  74.119.78.123  86.691 ms
10  173.252.67.187  86.938 ms
11  31.13.85.36  91.773 ms

Definir TTL para ICMP

Nós já falamos sobre o valor do TTL. Por padrão, esse valor de TTL é definido como 30. Isso significa que só podemos alcançar até 30 hops. Porque em cada salto este valor TTL é incrementado e após o salto número 30 o TTL será 0 e o pacote não será transmitido para o próximo salto. Neste exemplo, definiremos o número 8 do TTL, que só atingirá os 8 primeiros saltos. 

# traceroute -m 8 facebook.com
[email protected]:~# traceroute -m 8 facebook.com
traceroute to facebook.com (31.13.85.36), 8 hops max, 60 byte packets
 1  myrouter.bloi.com.br (192.168.1.1)  2.954 ms  3.555 ms  3.903 ms
 2  * * *
 3  100.120.64.89 (100.120.64.89)  34.807 ms 100.120.64.69 (100.120.64.69)  32.772 ms 100.120.64.87 (100.120.64.87)  34.969 ms
 4  TE-0-4-0-1-ETCO-DF-ROTD-02 (177.2.248.17)  49.435 ms  56.499 ms XE-3-0-0-ETCE-DF-ROTN-J01.brasiltelecom.net.br (177.2.210.8)  60.236 ms
 5  100.120.18.83 (100.120.18.83)  55.095 ms 100.120.18.69 (100.120.18.69)  64.246 ms 100.120.16.227 (100.120.16.227)  56.463 ms
 6  * etpn-sp-rotb-j01-xe-1-0-1.brasiltelecom.net.br (201.10.241.7)  54.278 ms  54.006 ms
 7  et-1-0-21-1.pr04.gru1.tfbnw.net (157.240.64.12)  55.271 ms et-1-0-22-1.pr04.gru1.tfbnw.net (103.4.99.234)  44.193 ms  66.484 ms
 8  po211.asw04.gru2.tfbnw.net (31.13.26.36)  40.154 ms po211.asw01.gru2.tfbnw.net (31.13.26.32)  37.581 ms  45.617 ms
[email protected]:~# 

Definir início TTL

Por padrão, o comando traceroute mostrará todos os saltos, começando de 1 até o último salto. Em algumas situações, precisamos apenas de uma parte do salto a partir do n’th hop. Isso pode ser definido com a opção -f. Neste exemplo, começaremos a partir do número 10 do hop.

# traceroute -f 10 facebook.com
[email protected]:~# traceroute -f 10 facebook.com
traceroute to facebook.com (31.13.85.36), 30 hops max, 60 byte packets
10  173.252.67.157 (173.252.67.157)  40.533 ms 173.252.67.71 (173.252.67.71)  45.667 ms 173.252.67.13 (173.252.67.13)  45.520 ms
11  edge-star-mini-shv-01-gru2.facebook.com (31.13.85.36)  46.498 ms  52.080 ms  53.837 ms

Imprimir números do sistema autônomo (AS)

A Internet é uma rede pública muito grande. Existem muitas partes que fornecem conexões umas com as outras em uma topologia de malha. Essas partes são geralmente empresas ISPs ou grandes e são chamadas na terminologia da Internet como Sistemas Autônomos. Todos os ASs têm seu identificador exclusivo chamado de números AS. Enquanto espera em diferentes AS, os seus números AS podem ser impressos com a opção -A.

[email protected]:~# traceroute -A facebook.com
traceroute to facebook.com (31.13.85.36), 30 hops max, 60 byte packets
 1  myrouter.bloi.com.br (192.168.1.1) [AS198949]  3.345 ms  3.211 ms  3.086 ms
 2  * * *
 3  100.120.64.71 (100.120.64.71) [*]  30.832 ms 100.120.64.69 (100.120.64.69) [*]  32.252 ms 100.120.64.87 (100.120.64.87) [*]  31.506 ms
 4  XE-3-0-0-ETCE-DF-ROTN-J01.brasiltelecom.net.br (177.2.210.8) [AS8167]  52.072 ms TE-0-4-0-0-ETCO-DF-ROTD-01 (177.2.248.13) [AS8167]  51.596 ms 100.120.17.135 (100.120.17.135) [*]  51.317 ms
 5  100.120.21.233 (100.120.21.233) [*]  75.768 ms 100.120.16.235 (100.120.16.235) [*]  60.984 ms xe-0-1-0-ETPA-SP-ROTN-J01.brasiltelecom.net.br (177.2.192.121) [AS8167]  60.864 ms
 6  100.120.19.16 (100.120.19.16) [*]  72.849 ms etpn-sp-rotb-j01-xe-2-0-3.brasiltelecom.net.br (201.10.241.29) [AS8167]  41.242 ms 100.120.16.142 (100.120.16.142) [*]  41.213 ms
 7  201.10.242.225 (201.10.242.225) [AS8167]  41.403 ms et-1-0-21-1.pr03.gru1.tfbnw.net (157.240.64.18) [AS32934]  43.358 ms et-1-0-21-1.pr04.gru1.tfbnw.net (157.240.64.12) [AS32934]  42.376 ms
 8  po221.asw02.gru2.tfbnw.net (31.13.28.246) [AS32934]  49.712 ms po221.asw03.gru2.tfbnw.net (31.13.31.198) [AS32934]  49.759 ms po221.asw02.gru2.tfbnw.net (31.13.28.246) [AS32934]  49.067 ms
 9  po313.psw03.gru2.tfbnw.net (129.134.33.215) [AS33182]  60.362 ms po213.psw04.gru2.tfbnw.net (157.240.42.41) [AS32934]  48.514 ms po343.psw01.gru2.tfbnw.net (129.134.33.155) [AS33182]  59.386 ms
10  173.252.67.61 (173.252.67.61) [AS32934]  54.283 ms 173.252.67.17 (173.252.67.17) [AS32934]  53.756 ms 173.252.67.175 (173.252.67.175) [AS32934]  59.449 ms
11  edge-star-mini-shv-01-gru2.facebook.com (31.13.85.36) [AS32934]  62.189 ms  54.592 ms  42.272 ms

Que a segurança esteja com você!!!

[products limit=”16″ columns=”4″ best_selling=”1″]

Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking a mais de 6 anos, hacker ético, formado em Segurança da Informação.

0 comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *