43 - Pentesting WHOIS

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Βασικές πληροφορίες

Το WHOIS πρωτόκολλο χρησιμεύει ως τυπική μέθοδος για ερωτήσεις σχετικά με τους καταχωρητές ή τους κατόχους διαφόρων πόρων του Διαδικτύου μέσω συγκεκριμένων βάσεων δεδομένων. Αυτοί οι πόροι περιλαμβάνουν ονόματα τομέα, μπλοκ διευθύνσεων IP και αυτόνομα συστήματα, μεταξύ άλλων. Πέρα από αυτά, το πρωτόκολλο εφαρμόζεται για πρόσβαση σε ένα ευρύτερο φάσμα πληροφοριών.

Προεπιλεγμένη θύρα: 43

PORT   STATE  SERVICE
43/tcp open   whois?

Από επιθετική σκοπιά, να θυμάσαι ότι WHOIS είναι απλώς μια υπηρεσία TCP απλού κειμένου: ο client στέλνει ένα query, ο server επιστρέφει ανθρώπινα αναγνώσιμο κείμενο, και το κλείσιμο της σύνδεσης σηματοδοτεί το τέλος της απόκρισης. Δεν υπάρχει ενσωματωμένη αυθεντικοποίηση, ακεραιότητα ή εμπιστευτικότητα στο πρωτόκολλο.

Σύγχρονη πραγματικότητα: WHOIS vs RDAP

Για δεδομένα καταχώρησης domain στο Internet, WHOIS δεν είναι πλέον η εξουσιοδοτημένη επιλογή για πολλές ροές εργασίας δημόσιων gTLD. Η ICANN τερμάτισε το WHOIS για δεδομένα καταχώρησης gTLD στις 2025-01-28, καθιστώντας το RDAP το πρωτόκολλο που προτιμάται για μηχανικά αναγνώσιμες αναζητήσεις καταχώρησης domain.

Ωστόσο, TCP/43 αξίζει ακόμα να δοκιμάζεται γιατί συνεχίζει να εμφανίζεται σε:

  • Παρωχημένες ή ιδιωτικές υπηρεσίες WHOIS
  • RIR / ροές εργασίας κατανομής IP
  • Εσωτερικά μητρώα και προσαρμοσμένες βάσεις δεδομένων asset
  • Εργαλεία web τρίτων και παλιοί αυτοματισμοί που εξακολουθούν να εμπιστεύονται τις απαντήσεις WHOIS

Αν ο στόχος σου είναι reverse whois, ευρύτερη επέκταση asset, ή αναδρομικό external recon, έλεγξε the External Recon Methodology page για να αποφύγεις τη διπλή δουλειά εδώ.

Enumerate

Πάρε όλες τις πληροφορίες που μια whois service έχει για ένα domain:

whois -h <HOST> -p <PORT> "domain.tld"
printf 'domain.tld\r\n' | nc -vn <HOST> <PORT>

Αν βρείτε μια δημόσια προσβάσιμη υπηρεσία WHOIS, δοκιμάστε τόσο ερωτήματα τύπου domain όσο και IP/ASN, επειδή πολλές υλοποιήσεις εκθέτουν διαφορετικά backends ή parsers ανάλογα με τον τύπο του αντικειμένου:

# Domain
printf 'example.com\r\n' | nc -vn <HOST> 43

# IP / CIDR / ASN examples
printf '8.8.8.8\r\n' | nc -vn <HOST> 43
printf 'AS15169\r\n' | nc -vn <HOST> 43

Ακολουθώντας referrals και καλύτερη enumeration

Πολλές χρήσιμες πληροφορίες από WHOIS enumeration κρύβονται πίσω από τα referrals. Για παράδειγμα, ένας server μπορεί να σας παραπέμψει απλώς στον επόμενο authoritative WHOIS server για ένα TLD ή RIR. Αξίζει να το δοκιμάσετε χειροκίνητα, γιατί μερικές custom υπηρεσίες διαχειρίζονται λανθασμένα τα follow-up queries, αφαιρούν πεδία με ασυνεπή τρόπο ή leak επιπλέον backend metadata.

Χρήσιμες επιλογές και βοηθήματα:

# Ask IANA first and then follow the authoritative referral (common Linux whois clients)
whois -I example.com
whois -I 8.8.8.8

# Let Nmap follow domain/IP WHOIS referrals automatically
nmap --script whois-domain <target>
nmap --script whois-ip <target>

# For IP ranges, disable the WHOIS cache if you care about smaller delegated blocks
nmap --script whois-ip --script-args whois.whodb=nocache <target>

Σημαντικά πεδία για pivot όταν η υπηρεσία δεν είναι πλήρως αποκομμένη:

  • Registrar / Org / abuse contact για αναφορά phishing ή χαρτογράφηση οργανισμών
  • Creation / update / expiration times για να εντοπίσετε πρόσφατα καταχωρημένη υποδομή
  • Nameservers για ομαδοποίηση domains που διαχειρίζεται ο ίδιος φορέας
  • Referral server names για να βρείτε παλιά ή ξεχασμένη WHOIS υποδομή

RDAP as the Structured Successor

Ακόμα κι αν η εκτεθειμένη υπηρεσία είναι το κλασικό WHOIS στη θύρα 43, ελέγξτε αν ο ίδιος πάροχος προσφέρει επίσης RDAP, επειδή το RDAP είναι συχνά πιο εύκολο στην ανάλυση και καλύτερο για αυτοματοποίηση:

curl -s https://www.rdap.net/domain/example.com | jq
curl -s https://rdap.arin.net/registry/ip/8.8.8.8 | jq

Μια πρακτική επιθετική λεπτομέρεια: μια μελέτη μέτρησης του 2024 που συνέκρινε τα WHOIS και RDAP σε κλίμακα διαπίστωσε ότι δεν είναι πάντα ανταλλάξιμα, με ασυμφωνίες σε πεδία όπως τα αναγνωριστικά του registrar, οι ημερομηνίες δημιουργίας και οι nameservers. Αν το recon pipeline σας εξαρτάται από αυτές τις τιμές, συγκρίνετε και τις δύο πηγές πριν λάβετε αποφάσεις.

Επιθετικές Σημειώσεις

Backend Injection σε προσαρμοσμένες πύλες WHOIS

Επιπλέον, η υπηρεσία WHOIS χρειάζεται πάντα να χρησιμοποιεί μια database για να αποθηκεύει και να εξάγει τις πληροφορίες. Συνεπώς, πιθανή SQLInjection μπορεί να υπάρχει όταν γίνεται querying της database με βάση πληροφορίες που παρέχονται από τον χρήστη. Για παράδειγμα, εκτελώντας: whois -h 10.10.10.155 -p 43 "a') or 1=1#" θα μπορούσατε να καταφέρετε να εξαγάγετε όλες τις πληροφορίες που είναι αποθηκευμένες στη database.

Μην περιορίζετε τις δοκιμές σε SQLi. Σε εσωτερικές ή εξειδικευμένες υλοποιήσεις WHOIS, το query μπορεί να προωθηθεί σε:

  • SQL / NoSQL backends
  • LDAP directories
  • shell wrappers around other lookup tools
  • HTTP APIs used by registrar or asset-management portals

Οπότε κάντε fuzz με payloads για SQLi, LDAP injection, κατάχρηση delimiter, πολύ μεγάλες συμβολοσειρές, και κακομορφοποιημένους UTF-8 / χαρακτήρες ελέγχου. Το ίδιο το πρωτόκολλο είναι απλό· το επικίνδυνο κομμάτι είναι συνήθως ο parser or backend glue code.

Κακόβουλοι / Παρωχημένοι WHOIS Servers

Μια σχετική διαδρομή επίθεσης για το 2024-2025 είναι η κατάχρηση της outdated WHOIS trust. Αν ένα registry ή εργαλείο αλλάξει το WHOIS hostname και το παλιό domain λήξει, ένας επιτιθέμενος μπορεί να κατοχυρώσει το παλιό hostname και να λειτουργήσει έναν rogue WHOIS server.

Αυτό δίνει στον επιτιθέμενο έλεγχο πάνω στο σώμα της απάντησης που βλέπουν:

  • παλιοί WHOIS clients με hardcoded mappings των servers
  • web εφαρμογές που φέρνουν το WHOIS output και το εμφανίζουν σε χρήστες
  • αυτοματισμοί που εξακολουθούν να χρησιμοποιούν WHOIS για domain validation ή workflows ιδιοκτησίας

Αυτό είναι σημαντικό επειδή μια rogue WHOIS απάντηση μπορεί να γίνει σημείο εισόδου για:

  • stored/reflected XSS σε web WHOIS frontends
  • parser bugs / command injection / eval bugs σε βιβλιοθήκες που καταναλώνουν το text response
  • bad automation decisions όταν συστήματα εμπιστεύονται attacker-controlled WHOIS contact data

Όταν βρείτε μια ιδιωτική ή legacy υπηρεσία WHOIS, ελέγξτε πάντα κατά πόσο οι επιστρεφόμενες τιμές refer: / Whois Server:, τα banners ή οι αντιστοιχίσεις TLD δείχνουν σε domains που έχουν λήξει ή μπορούν να εγγραφούν από επιτιθέμενους.

Shodan

  • port:43 whois

Αυτόματες Εντολές HackTricks

Protocol_Name: WHOIS    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: WHOIS         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for WHOIS
Note: |
The WHOIS protocol serves as a standard method for inquiring about the registrants or holders of various Internet resources through specific databases. These resources encompass domain names, blocks of IP addresses, and autonomous systems, among others. Beyond these, the protocol finds application in accessing a broader spectrum of information.


https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html

Entry_2:
Name: Banner Grab
Description: Grab WHOIS Banner
Command: whois -h {IP} -p 43 {Domain_Name} && printf '{Domain_Name}\r\n' | nc -vn {IP} 43

Entry_3:
Name: Nmap WHOIS Referrals
Description: Follow WHOIS referrals for domain and IP lookups
Command: nmap --script whois-domain,whois-ip --script-args whois.whodb=nocache {IP}

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks