Pillole di #penetrationtest

La fase di ricognizione sulle informazioni tecniche di un dominio parte certamente dal database whois: mediante questo (ovvero l'omonimo tool) possiamo ottenere, indicando il nome di dominio, oltre ad informazioni non tecniche, i nomi dei name server autorevoli per tale dominio (cosa possibile anche con query DNS, ma vogliamo concentrarci su un unico strumento).

Da questi nomi (sempre con whois) possiamo ricavare gli indirizzi pubblici che questi occupano; usando nuovamente whois per ciascuno di questi indirizzi, troveremo il NetRange o CIDR delle reti in possesso dall'organizzazione proprietaria del dominio, rilevando così la sua superficie di attacco complessiva (in termini di indirizzi).

La ricognizione non si ferma qui. Di questo dominio vorremmo sapere si più, ma una ricerca DNS Reverse Lookup molto probabilmente sarà infruttuosa, perché fornirà dei nomi di host che non corrispondono alle aspettative (non troveremo mai, ad esempio, www.google.com).

A questo punto non resta che eseguire una ricerca a dizionario dei potenziali nomi di sotto-domini e host che caratterizzano l'ecosistema del dominio in esame. Per far questo possiamo utilizzare programmi come dnsmap, fierce, dnsrecon e sublist3r. Il vantaggio degli ultimi due è che utilizza anche fonti aperte (motori di ricerca) per trovare nomi di sott-domini riferibili al dominio in esame.

Tweet