43 - Pentesting WHOIS

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Grundlegende Informationen

Das WHOIS-Protokoll dient als Standardmethode, um über bestimmte Datenbanken Informationen über die Registranten oder Inhaber verschiedener Internetressourcen abzufragen.

Zu diesen Ressourcen gehören unter anderem Domainnamen, IP-Adressblöcke und autonome Systeme. Darüber hinaus wird das Protokoll auch verwendet, um auf ein breiteres Spektrum an Informationen zuzugreifen.

Standardport: 43

PORT   STATE  SERVICE
43/tcp open   whois?

Aus offensiver Sicht gilt: WHOIS ist nur ein Klartext-TCP-Dienst: der Client sendet eine Anfrage, der Server liefert menschenlesbaren Text, und das Schließen der Verbindung markiert das Ende der Antwort. Im Protokoll gibt es keine eingebaute Authentifizierung, Integrität oder Vertraulichkeit.

Moderne Realität: WHOIS vs RDAP

Für Internet-Domain-Registrierungsdaten ist WHOIS für viele öffentliche gTLD-Workflows nicht mehr die maßgebliche Option. ICANN hat WHOIS für gTLD-Registrierungsdaten am 2025-01-28 eingestellt, wodurch RDAP das zu bevorzugende Protokoll für maschinenlesbare Domain-Registrierungsabfragen geworden ist.

However, TCP/43 is still worth testing because it keeps appearing in:

  • Legacy- oder private WHOIS-Dienste
  • RIR / IP-Zuweisungs-Workflows
  • Interne Register und maßgeschneiderte Asset-Datenbanken
  • Drittanbieter-Webtools und alte Automatisierungen, die WHOIS-Antworten weiterhin vertrauen

If your goal is reverse whois, broader asset expansion, or recursive external recon, check the External Recon Methodology page to avoid duplicating work here.

Enumerieren

Erhalte alle Informationen, die ein WHOIS-Service über eine Domain hat:

whois -h <HOST> -p <PORT> "domain.tld"
printf 'domain.tld\r\n' | nc -vn <HOST> <PORT>

Wenn Sie einen öffentlich zugänglichen WHOIS-Dienst finden, testen Sie sowohl domain- als auch IP/ASN-Abfragen, da viele Implementierungen je nach Objekttyp verschiedene Backends oder Parser bereitstellen:

# Domain
printf 'example.com\r\n' | nc -vn <HOST> 43

# IP / CIDR / ASN examples
printf '8.8.8.8\r\n' | nc -vn <HOST> 43
printf 'AS15169\r\n' | nc -vn <HOST> 43

Beachte, dass manchmal bei einer Anfrage an einen WHOIS-Service die verwendete Datenbank in der Antwort erscheint:

Referral Chasing and Better Enumeration

Viel nützliche WHOIS enumeration steckt hinter referrals. Beispielsweise kann ein Server Sie nur auf den nächsten autoritativen WHOIS-Server für eine TLD oder ein RIR verweisen. Das lohnt sich manuell zu testen, da einige kundenspezifische Dienste Folgeabfragen falsch behandeln, Felder inkonsistent schwärzen oder zusätzliche Backend-Metadaten leak.

Nützliche Optionen und Hilfsmittel:

# Ask IANA first and then follow the authoritative referral (common Linux whois clients)
whois -I example.com
whois -I 8.8.8.8

# Let Nmap follow domain/IP WHOIS referrals automatically
nmap --script whois-domain <target>
nmap --script whois-ip <target>

# For IP ranges, disable the WHOIS cache if you care about smaller delegated blocks
nmap --script whois-ip --script-args whois.whodb=nocache <target>

Interessante Felder, auf denen man pivoten kann, wenn der Dienst nicht vollständig geschwärzt ist:

  • Registrar / Org / abuse contact für Phishing-Reporting oder Org-Mapping
  • Creation / update / expiration times um neu registrierte Infrastruktur zu erkennen
  • Nameservers um Domains zu clustern, die vom selben Betreiber verwaltet werden
  • Referral server names um veraltete oder vergessene WHOIS-Infrastruktur zu finden

RDAP als strukturierter Nachfolger

Selbst wenn der offen zugängliche Dienst klassisches WHOIS auf Port 43 ist, prüfe, ob derselbe Provider auch RDAP anbietet, da RDAP oft leichter zu parsen ist und sich besser für Automation eignet:

curl -s https://www.rdap.net/domain/example.com | jq
curl -s https://rdap.arin.net/registry/ip/8.8.8.8 | jq

Eine praktische offensive Nuance: Eine Messstudie aus 2024, die WHOIS und RDAP im großen Maßstab verglich, stellte fest, dass sie nicht immer austauschbar sind, mit Inkonsistenzen in Feldern wie Registrar-Identifikatoren, Erstellungsdaten und Nameservern. Wenn Ihre Recon-Pipeline von diesen Werten abhängt, vergleichen Sie beide Quellen, bevor Sie Entscheidungen treffen.

Offensive Hinweise

Backend Injection in kundenspezifischen WHOIS-Gateways

Außerdem muss der WHOIS-Service immer eine Datenbank verwenden, um die Informationen zu speichern und abzurufen. Daher könnte eine mögliche SQLInjection vorhanden sein, wenn beim Abfragen der Datenbank Informationen verwendet werden, die vom Benutzer bereitgestellt wurden. Zum Beispiel durch Ausführen von: whois -h 10.10.10.155 -p 43 "a') or 1=1#" könnten Sie in der Lage sein, alle in der Datenbank gespeicherten Informationen zu extrahieren.

Begrenzen Sie die Tests nicht auf SQLi. In internen oder Nischen-WHOIS-Deployments kann die Abfrage an folgende Backends proxied werden:

  • SQL / NoSQL backends
  • LDAP directories
  • shell wrappers around other lookup tools
  • HTTP APIs used by registrar or asset-management portals

Fuzzen Sie also mit Payloads für SQLi, LDAP injection, Delimiter-Missbrauch, sehr lange Strings und fehlerhaftes UTF-8 / Steuerzeichen. Das Protokoll selbst ist simpel; der gefährliche Teil ist meist der Parser- oder Backend-Glue-Code.

Rogue / veraltete WHOIS-Server

Ein relevanter Angriffsweg in 2024–2025 ist der Missbrauch von veraltetem WHOIS-Trust. Wenn eine Registry oder ein Tool seinen WHOIS-Hostname ändert und die alte Domain verfällt, kann ein Angreifer möglicherweise den alten Hostnamen registrieren und einen rogue WHOIS server betreiben.

Das verschafft dem Angreifer Kontrolle über den Antwortkörper, der gesehen wird von:

  • alten WHOIS-Clients mit hardcodierten Serverzuordnungen
  • Webanwendungen, die WHOIS-Ausgaben abrufen und an Nutzer zurückgeben
  • Automatisierungen, die WHOIS noch für Domain-Validierung oder Ownership-Workflows verwenden

Das ist relevant, weil eine rogue WHOIS-Antwort zu einem Einstiegspunkt werden kann für:

  • stored/reflected XSS in Web-WHOIS-Frontends
  • parser bugs / command injection / eval bugs in Bibliotheken, die die Textantwort verarbeiten
  • schlechte Automatisierungsentscheidungen, wenn Systeme angreiferkontrollierten WHOIS-Kontaktdaten vertrauen

Wenn Sie einen privaten oder Legacy-WHOIS-Service finden, prüfen Sie stets, ob die zurückgegebenen refer: / Whois Server: Werte, Banner oder TLD-Zuordnungen auf abgelaufene oder vom Angreifer registrierbare Domains verweisen.

Shodan

  • port:43 whois

HackTricks Automatische Befehle

Protocol_Name: WHOIS    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: WHOIS         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for WHOIS
Note: |
The WHOIS protocol serves as a standard method for inquiring about the registrants or holders of various Internet resources through specific databases. These resources encompass domain names, blocks of IP addresses, and autonomous systems, among others. Beyond these, the protocol finds application in accessing a broader spectrum of information.


https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html

Entry_2:
Name: Banner Grab
Description: Grab WHOIS Banner
Command: whois -h {IP} -p 43 {Domain_Name} && printf '{Domain_Name}\r\n' | nc -vn {IP} 43

Entry_3:
Name: Nmap WHOIS Referrals
Description: Follow WHOIS referrals for domain and IP lookups
Command: nmap --script whois-domain,whois-ip --script-args whois.whodb=nocache {IP}

Referenzen

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks