43 - Pentesting WHOIS

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Temel Bilgiler

WHOIS protokolü, belirli veritabanları aracılığıyla çeşitli İnternet kaynaklarının kayıt sahipleri veya tutucuları hakkında sorgulama yapma için standart bir yöntem olarak hizmet verir. Bu kaynaklar alan adlarını, IP adres bloklarını ve özerk sistemleri kapsar. Bunun ötesinde, protokol daha geniş bir bilgi yelpazesine erişimde de kullanılır.

Varsayılan port: 43

PORT   STATE  SERVICE
43/tcp open   whois?

Saldırı perspektifinden bakıldığında, unutmayın ki WHOIS sadece düz metin TCP hizmetidir: istemci bir sorgu gönderir, sunucu insan tarafından okunabilir metin döner ve bağlantının kapanması yanıtın sonunu işaret eder. Protokolde gömülü kimlik doğrulama, bütünlük veya gizlilik yoktur.

Günümüz Gerçeği: WHOIS vs RDAP

İnternet alan adı kayıt verileri için, WHOIS artık birçok kamu gTLD iş akışı için yetkili seçenek değildir. ICANN, gTLD kayıt verileri için WHOIS’i 2025-01-28 tarihinde kullanımdan kaldırdı; bu da makine tarafından okunabilir alan adı kayıt sorgulamaları için tercih edilmesi gereken protokolün RDAP olduğunu gösterir.

Bununla birlikte, TCP/43 hâlâ test edilmeye değer çünkü şu yerlerde ortaya çıkmaya devam ediyor:

  • Legacy veya özel WHOIS servisleri
  • RIR / IP tahsis iş akışları
  • Dahili kayıt defterleri ve özel varlık veritabanları
  • Üçüncü taraf web araçları ve eski otomasyonlar hala WHOIS yanıtlarına güveniyor

Eğer amacınız reverse whois, daha geniş varlık genişletmesi veya yinelemeli dış keşifse, burada işleri tekrarlamamak için Dış Keşif Metodolojisi sayfasına bakın.

Bilgi Toplama

Bir alan adı hakkında whois servisinde bulunan tüm bilgileri alın:

whois -h <HOST> -p <PORT> "domain.tld"
printf 'domain.tld\r\n' | nc -vn <HOST> <PORT>

Kamuya açık bir WHOIS servisi bulursanız, nesne tipine bağlı olarak birçok uygulama farklı backend’ler veya parser’lar açığa çıkarabildiğinden hem domain hem de IP/ASN tarzı sorguları test edin:

# Domain
printf 'example.com\r\n' | nc -vn <HOST> 43

# IP / CIDR / ASN examples
printf '8.8.8.8\r\n' | nc -vn <HOST> 43
printf 'AS15169\r\n' | nc -vn <HOST> 43

Dikkat: bazen WHOIS servisine bazı bilgiler talep ettiğinizde kullanılan veritabanı yanıt içinde görünebilir:

Yönlendirme Takibi ve Daha İyi Keşif

Birçok faydalı WHOIS keşfi yönlendirmelerin arkasına gizlenmiştir. Örneğin, bir sunucu sizi yalnızca bir TLD veya bir RIR için bir sonraki yetkili WHOIS sunucusuna işaret edebilir. Bazı özel servisler takip sorgularını yanlış ele aldığı, alanları tutarsız şekilde sansürlediği veya ek backend meta verisi sızdırdığı için bunu elle test etmek faydalıdır.

Yararlı seçenekler ve yardımcı araçlar:

# Ask IANA first and then follow the authoritative referral (common Linux whois clients)
whois -I example.com
whois -I 8.8.8.8

# Let Nmap follow domain/IP WHOIS referrals automatically
nmap --script whois-domain <target>
nmap --script whois-ip <target>

# For IP ranges, disable the WHOIS cache if you care about smaller delegated blocks
nmap --script whois-ip --script-args whois.whodb=nocache <target>

Servisin tam olarak karartılmadığı durumlarda pivot yapmak için ilginç alanlar:

  • Registrar / Org / abuse contact phishing bildirimleri veya organizasyon eşlemesi için
  • Creation / update / expiration times yeni kayıtlı altyapıyı tespit etmek için
  • Nameservers aynı operatör tarafından yönetilen domainleri kümelemek için
  • Referral server names eski veya unutulmuş WHOIS altyapısını bulmak için

RDAP — Yapılandırılmış Halefi

Açığa çıkmış servis klasik WHOIS ve port 43 olsa bile, aynı sağlayıcının RDAP sunup sunmadığını kontrol edin; çünkü RDAP genellikle ayrıştırması daha kolaydır ve otomasyon için daha uygundur:

curl -s https://www.rdap.net/domain/example.com | jq
curl -s https://rdap.arin.net/registry/ip/8.8.8.8 | jq

Pratik bir ofansif nüans: 2024 tarihli bir ölçüm çalışması WHOIS ve RDAP’i ölçekli olarak karşılaştırdı ve bunların her zaman birbirinin yerine geçmediğini ortaya koydu; registrar identifiers, creation dates ve nameserver’lar gibi alanlarda tutarsızlıklar vardı. Eğer recon pipeline’ınız bu değerlere bağlıysa, karar vermeden önce her iki kaynağı karşılaştırın.

Ofansif Notlar

Backend Injection in Custom WHOIS Gateways

Ayrıca, WHOIS servisi bilgileri saklamak ve çıkarmak için her zaman bir veritabanı kullanır. Bu yüzden, kullanıcı tarafından sağlanan bazı bilgilerle veritabanına sorgulama yaparken olası bir SQLInjection bulunabilir. Örneğin whois -h 10.10.10.155 -p 43 "a') or 1=1#" yaparak veritabanında saklanan tüm bilgileri çıkarabilirsin.

Testleri sadece SQLi ile sınırlamayın. İç ağ veya niş WHOIS dağıtımlarında, sorgu şu sistemlere proxy ediliyor olabilir:

  • SQL / NoSQL backends
  • LDAP directories
  • shell wrappers around other lookup tools
  • HTTP APIs used by registrar or asset-management portals

Bu yüzden SQLi, LDAP injection, ayırıcı istismarı, çok uzun diziler ve bozuk UTF-8 / kontrol karakterleri için payload’larla fuzz yapın. Protokolün kendisi basit; tehlikeli kısım genellikle parser or backend glue code’tur.

Kötü Niyetli / Eskimiş WHOIS Sunucuları

2024-2025 döneminde önemli bir saldırı yolu, outdated WHOIS trust’ın istismarıdır. Bir registry veya araç WHOIS hostname’ini değiştirir ve eski domaininin süresi dolarsa, bir saldırgan eski hostname’i kaydettirip bir rogue WHOIS server çalıştırabilir.

Bu, saldırgana şu tarafların gördüğü yanıt içeriği üzerinde kontrol sağlar:

  • hardcoded server mappings içeren eski WHOIS istemcileri
  • WHOIS çıktısını alıp kullanıcıya render eden web uygulamaları
  • domain doğrulama veya sahiplik iş akışlarında hala WHOIS kullanan otomasyon

Bu önemlidir çünkü rogue WHOIS yanıtı şu tür giriş noktalarına dönüşebilir:

  • web WHOIS ön yüzlerinde stored/reflected XSS
  • metin yanıtını tüketen kütüphanelerde parser bugs / command injection / eval bugs
  • sistemler saldırgan kontrollü WHOIS iletişim verilerine güvendiğinde ortaya çıkan kötü otomasyon kararları

Özel veya legacy WHOIS servisi bulduğunuzda, döndürülen refer: / Whois Server: değerlerinin, banner’ların veya TLD eşlemelerinin süresi dolmuş veya saldırgan tarafından kayıt edilebilir domain’lere işaret edip etmediğini her zaman kontrol edin.

Shodan

  • port:43 whois

HackTricks Automatic Commands

Protocol_Name: WHOIS    #Protocol Abbreviation if there is one.
Port_Number:  43     #Comma separated if there is more than one.
Protocol_Description: WHOIS         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for WHOIS
Note: |
The WHOIS protocol serves as a standard method for inquiring about the registrants or holders of various Internet resources through specific databases. These resources encompass domain names, blocks of IP addresses, and autonomous systems, among others. Beyond these, the protocol finds application in accessing a broader spectrum of information.


https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-smtp/index.html

Entry_2:
Name: Banner Grab
Description: Grab WHOIS Banner
Command: whois -h {IP} -p 43 {Domain_Name} && printf '{Domain_Name}\r\n' | nc -vn {IP} 43

Entry_3:
Name: Nmap WHOIS Referrals
Description: Follow WHOIS referrals for domain and IP lookups
Command: nmap --script whois-domain,whois-ip --script-args whois.whodb=nocache {IP}

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin