WHOIS to protokół TCP służący do odpytywań baz
DNS (informacje o właścicielu, dane teleadresowe, klasy adresów IP etc). Serwery
WHOIS nasłuchują na porcie TCP/43, a komunikacja jest bardzo prosta, co można przeczytać w
RFC3912:
3. Protocol Example
If one places a request of the WHOIS server located at whois.nic.mil
for information about "Smith", the packets on the wire will look
like:
client server at whois.nic.mil
open TCP ---- (SYN) ------------------------------>
<---- (SYN+ACK) -------------------------
send query ---- "Smith" -------------------->
get answer <---- "Info about Smith" ---------
<---- "More info about Smith" ----
close <---- (FIN) ------------------------------
Czyli wystarczy połączyć się z portem 43 danego serwera whois, wysłać zapytanie w postaci adresu IP/domeny, o które pytamy zakończone znakiem nowej linii i serwer nam zwróci odpowiedź. Można do tego użyć nawet nc czy telnet:
🐉 drg@dhq[~]$ nc whois.nask.pl 43
nask.pl
DOMAIN NAME: nask.pl
registrant type: organization
nameservers: bilbo.nask.pl. [195.187.245.51]
eomer.nask.pl. [193.59.201.24]
kirdan.nask.pl. [195.187.244.8]
nms.cyf-kr.edu.pl. [149.156.1.3]
ns.tpnet.pl. [80.50.50.50]
created: 1995.04.26 13:00:00
[...]
Do odpytywania baz
WHOIS w systemach Linux/Unix tradycyjnie służy narzędzie
whois. Dzięki opcjom
-h
oraz
-p
można wskazać konkretny host i port do odpytania. Zatem wskazując swój własny serwer, na którym uruchomimy listener w postaci
nc -l 43
czy jeszcze lepiej -
socat
-a (zobacz
aptm.in/protip/0013,
aptm.in/protip/001b) wykorzystujemy
legitne narzędzie do eksfiltracji danych.
Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.