43 - Pentesting WHOIS

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Basiese Inligting

Die WHOIS-protokol dien as ’n standaardmetode om navraag te doen oor die registrante of houers van verskeie Internetbronne via spesifieke databasisse. Hierdie bronne sluit domeinname, IP-adresblokke en autonome stelsels, onder andere, in. Daarbenewens kan die protokol gebruik word om toegang tot ’n wyer reeks inligting te verkry.

Standaard poort: 43

PORT   STATE  SERVICE
43/tcp open   whois?

Van ’n offensiewe oogpunt af, onthou dat WHOIS net ’n platte-tekst TCP-diens is: die kliënt stuur ’n navraag, die bediener stuur mensleesbare teks terug, en die sluiting van die verbinding dui die einde van die antwoord aan. Daar is geen ingeboude outentisering, integriteit of vertroulikheid in die protokol nie.

Moderne Realiteit: WHOIS vs RDAP

Vir Internet-domeinregistrasie-data is WHOIS nie meer die gesaghebbende opsie vir baie openbare gTLD-werkvloei nie. ICANN het WHOIS vir gTLD-registrasiedata op 2025-01-28 afgeskaf, wat RDAP die protokol maak om te verkies vir masjienleesbare domeinregistrasie-opsoeke.

Tog is TCP/43 steeds die moeite werd om te toets omdat dit steeds verskyn in:

  • Erfenis- of privaat WHOIS-dienste
  • RIR / IP-toewysingswerkvloei
  • Interne registere en aangepaste asset-databasisse
  • Derdparty webgereedskap en ou automatisering wat steeds op WHOIS-antwoorde vertrou

As jou doel is reverse whois, breër asset-uitbreiding, of rekursiewe eksterne recon, kyk na the External Recon Methodology page om te verhoed dat jy hier werk dupliseer.

Opnoem

Kry al die inligting wat ’n whois-diens oor ’n domein het:

whois -h <HOST> -p <PORT> "domain.tld"
printf 'domain.tld\r\n' | nc -vn <HOST> <PORT>

As jy ’n openbare WHOIS-diens vind, toets beide domain- en IP/ASN-stylnavrae, omdat baie implementasies verskillende backends of parsers blootstel afhangend van die objektipe:

# Domain
printf 'example.com\r\n' | nc -vn <HOST> 43

# IP / CIDR / ASN examples
printf '8.8.8.8\r\n' | nc -vn <HOST> 43
printf 'AS15169\r\n' | nc -vn <HOST> 43

Let wel dat soms wanneer jy by ’n WHOIS-diens vir inligting navraag doen, die databasis wat gebruik word in die reaksie verskyn:

Referral Chasing and Better Enumeration

Baie bruikbare WHOIS enumeration is versteek agter referrals. Byvoorbeeld, een bediener mag jou slegs na die volgende outoritêre WHOIS-server vir ’n TLD of ’n RIR verwys. Dit is die moeite werd om handmatig te toets omdat sommige pasgemaakte dienste opvolgnavrae verkeerd hanteer, velde inkonsekwent redigeer, of leak ekstra backend-metadata.

Nuttige opsies en helpers:

# Ask IANA first and then follow the authoritative referral (common Linux whois clients)
whois -I example.com
whois -I 8.8.8.8

# Let Nmap follow domain/IP WHOIS referrals automatically
nmap --script whois-domain <target>
nmap --script whois-ip <target>

# For IP ranges, disable the WHOIS cache if you care about smaller delegated blocks
nmap --script whois-ip --script-args whois.whodb=nocache <target>

Interessante velde om op te pivot wanneer die diens nie volledig redacted is nie:

  • Registrar / Org / abuse contact vir phishing-rapportering of org-mapping
  • Creation / update / expiration times om pas geregistreerde infrastruktuur op te spoor
  • Nameservers om domeine te groepeer wat deur dieselfde operator bestuur word
  • Referral server names om ou of vergete WHOIS-infrastruktuur te vind

RDAP as die gestruktureerde opvolger

Selfs as die blootgestelde diens klassieke WHOIS op poort 43 is, kyk of dieselfde verskaffer ook RDAP bied, aangesien RDAP dikwels makliker is om te ontleed en beter vir automatisering:

curl -s https://www.rdap.net/domain/example.com | jq
curl -s https://rdap.arin.net/registry/ip/8.8.8.8 | jq

A practical offensive nuance: a 2024 measurement study comparing WHOIS and RDAP at scale found that they are nie altyd uitruilbaar nie, with inconsistencies in fields such as registrar identifiers, creation dates, and nameservers. If your recon pipeline depends on those values, compare both sources before making decisions.

Aanvalsnotas

Backend-injeksie in pasgemaakte WHOIS-gateways

Ook moet die WHOIS-diens altyd ’n databasis gebruik om die inligting te stoor en te onttrek. Dus kan ’n moontlike SQLInjection voorkom wanneer die databasis querying word gebaseer op inligting wat deur die gebruiker verskaf word. Byvoorbeeld, deur te doen: whois -h 10.10.10.155 -p 43 "a') or 1=1#" kan jy dalk alle die inligting wat in die databasis gestoor is, onttrek.

Beperk toetsing nie tot SQLi nie. In interne of nis-implementasies van WHOIS kan die navraag geproksieer word na:

  • SQL / NoSQL backends
  • LDAP directories
  • shell wrappers around other lookup tools
  • HTTP APIs used by registrar or asset-management portals

Fuzz dus met payloads vir SQLi, LDAP injection, delimiter abuse, baie lang strings, en malformed UTF-8 / control characters. Die protokol self is eenvoudig; die gevaarlike deel is gewoonlik die parser of backend-koppelkode.

Kwaadwillige / verouderde WHOIS-bedieners

’n Relevante 2024–2025-aanvalsroete is die misbruik van verouderde WHOIS-vertroue. As ’n registry of hulpmiddel sy WHOIS-hostnaam verander en die ou domein verval, kan ’n aanvaller die ou hostnaam registreer en ’n kwaadwillige WHOIS-bediener bedryf.

Dit gee die aanvaller beheer oor die antwoordliggaam wat gesien word deur:

  • ou WHOIS-kliënte met hardgekodeerde bediener-toewysings
  • webtoepassings wat WHOIS-uitset haal en dit aan gebruikers terugtoon
  • automatisering wat steeds WHOIS gebruik vir domeinvalidasie of eienaarskap-werkstrome

Dit is belangrik omdat ’n kwaadwillige WHOIS-antwoord ’n toegangspunt kan word vir:

  • stored/reflected XSS in web WHOIS frontends
  • parser bugs / command injection / eval bugs in libraries consuming the text response
  • slegte automatiseringsbesluite wanneer stelsels aanvaller-beheerde WHOIS-kontakdata vertrou

Wanneer jy ’n private of legacy WHOIS-diens vind, kontroleer altyd of die teruggegewe refer: / Whois Server: waardes, banners, of TLD-mappings na vervalle of deur aanvaller registreerbare domeine wys.

Shodan

  • port:43 whois

HackTricks Outomatiese Opdragte

Protocol_Name: WHOIS    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: WHOIS         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for WHOIS
Note: |
The WHOIS protocol serves as a standard method for inquiring about the registrants or holders of various Internet resources through specific databases. These resources encompass domain names, blocks of IP addresses, and autonomous systems, among others. Beyond these, the protocol finds application in accessing a broader spectrum of information.


https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html

Entry_2:
Name: Banner Grab
Description: Grab WHOIS Banner
Command: whois -h {IP} -p 43 {Domain_Name} && printf '{Domain_Name}\r\n' | nc -vn {IP} 43

Entry_3:
Name: Nmap WHOIS Referrals
Description: Follow WHOIS referrals for domain and IP lookups
Command: nmap --script whois-domain,whois-ip --script-args whois.whodb=nocache {IP}

Verwysings

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks