Trouver des informations sur une IP ou un nom de domaine

Dans ce cours on va répondre à la question « comment font les pirates pour passé d’une entreprise à l’accès à son réseau ». Au début ils ne savent rien sur l’entreprise c’est donc pour cette raison que qu’il commence par une recherche d’informations publiques. Pour suivre ce cours, je vous conseille de vous mètre dans la peau d’un Black Hat. Prenez comme exemple votre site web, une entreprise prise au hasard dans l’annuaire (tout en restant non intrusive et en gardant un cap d’investigation passif)

L’objectif de cette reconnaissance est de trouver :

• La liste des serveurs DNS
• La liste des éventuelles adresses IP attaqué
• Les informations de contact mail et téléphone
• Les adresses postales

La base Whois est une base de registres internet normalisé par la RFC 3912. Le whois sont des services proposés gratuitement en ligne et qui permettent d’obtenir des informations sur un nom de domaine particulier, une adresse IP, sur un serveur DNS.

Grâce à cette base, il est possible de trouver :

• Nom de domaine
• Registrar (organisme s’occupant de la gestion de nom de domaine)
• URL du serveur Whois de ce registrar
• URL du site du registrar
• Serveurs DNS (dans la base Internic)
• Date de dernière modification
• Adresse du propriétaire du nom de domaine
• Adresse de l’administrateur du nom de domaine
• Adresse du contact technique du nom de domaine
• Date de modification, création, et expiration du nom de domaine
• Serveurs DNS (dans la base du registrar)

Pour obtenir les informations données par le whois, vous pouvez utiliser la commande whois de Kali Linux, ou vous pouvez aussi aller sur des sites proposant une base de données de recensement des noms de domaines internet commehttp://www.whois.net . À titre d’exemple on va prendre le whois de hadopi.fr, mais ne soyez pas triste, c’est qu’un exemple, on ne va pas hacker hadopi.fr.

root@kali:~# whois hadopi.fr

domain:      hadopi.fr
status:      ACTIVE
hold:        NO
holder-c:    H3617-FRNIC
admin-c:     H3617-FRNIC
tech-c:      OVH5-FRNIC
zone-c:      NFC1-FRNIC
nsl-id:      NSL35236-FRNIC
registrar:   OVH
anniversary: 08/11
created:     13/02/2008
last-update: 08/11/2011
source:      FRNIC

ns-list:     NSL35236-FRNIC
nserver:     dns16.ovh.net
nserver:     ns16.ovh.net
source:      FRNIC

registrar:   OVH
type:        Isp Option 1
address:     2 Rue Kellermann
address:     ROUBAIX
country:     FR
phone:       +33 8 99 70 17 61
fax-no:      +33 3 20 20 09 58
e-mail:      support@ovh.net
website:     http://www.ovh.com
anonymous:   NO
registered:  21/10/1999
source:      FRNIC

nic-hdl:     OVH5-FRNIC
type:        ROLE
contact:     OVH NET
address:     OVH
address:     140, quai du Sartel
address:     59100 Roubaix
country:     FR
phone:       +33 8 99 70 17 61
e-mail:      tech@ovh.net
trouble:     Information: http://www.ovh.fr
trouble:     Questions:  mailto:tech@ovh.net
trouble:     Spam: mailto:abuse@ovh.net
admin-c:     OK217-FRNIC
tech-c:      OK217-FRNIC
notify:      tech@ovh.net
registrar:   OVH
changed:     11/10/2006 tech@ovh.net
anonymous:   NO
obsoleted:   NO
source:      FRNIC

nic-hdl:     H3617-FRNIC
type:        ORGANIZATION
contact:     HADOPI
address:     HADOPI
address:     4, rue du Texel
address:     75014 Paris
country:     FR
phone:       +33 1 42 18 39 50
e-mail:      domaines@hadopi.fr
registrar:   OVH
changed:     08/11/2011 nic@nic.fr
anonymous:   NO
obsoleted:   NO
source:      FRNIC

Le résultat sera toujours différent en fonction du type de propriétaire de l’adresse IP ou du nom de domaines. Celons l’adresse IP ou un nom de domaine, les informations importantes qui faudra prendre en compte seront différentes.

L’adresse IP ou un nom de domaine peut soit appartenir à un FAI, une organisation, ou un particulier, toutes les informations sont important néammoins ne se valent pas celons les types de propriétaire.

Pour une adresse IP qui appartient à un FAI on portera notre attention sûre : ;

• La plage d’adresses IP utilisé par le FAI, c’est toujours mieux qu’avec 4 milliards de possibilités.
• Le nom du FAI et le type de technologie utilisé pour la plage d’IP (ADSL ou câble)
• La distribution des adresses IP, pool dynamique ou IP Fixe.
• Le pays du FAI
• La route et le netmask

Pour une adresse IP ou un nom de domaine qui appartient à une organisation (entreprise) on portera notre attention sûre :

• Les adresse IP
• Les noms d’hôtes des serveurs DNS (Domaine Nom System) de la société;
• Les informations de contact comme l’adresse et le téléphone de l’entreprise.

Pour un nom de domaine qui appartient à un particulier on portera notre attention sûre :

•  Les Adresse IP
• Les noms d’hôtes des serveurs DNS (Domaine Name System) de la société,
• Information de contact de la personne comme l’adresse et le téléphone
• Le nom du propriétaire du nom de domaine
• Le nom du responsable technique, le propriétaire ou un professionnel.

La commande host

Durant une recherche d’informations il sera fréquent de ne pas avoir des adresses IP mais des noms d’hôtes. Dans les systèmes Unix et Linux comme Kali, il existe la commande host qui traduire les noms d’hôtes en adresse IP en tapant par exemple :

root@kali:~# host hadopi.fr
hadopi.fr has address 46.255.180.7
hadopi.fr mail is handled by 1 mx.hadopi.fr.

root@kali:~# host dns16.ovh.net
dns16.ovh.net has address 213.251.188.135
dns16.ovh.net has IPv6 address 2001:41d0:1:4a87::1

root@kali:~# host ns16.ovh.net
ns16.ovh.net has address 213.251.128.135
ns16.ovh.net has IPv6 address 2001:41d0:1:1987::1

En utilisant la commande avec l’option –a on aura des informations plus précises sur le nom de domaine.

root@kali:~# host -a hadopi.fr
;; QUESTION SECTION:
;hadopi.fr.                              IN        ANY
;; ANSWER SECTION:
hadopi.fr.                    3600    IN        TXT      "google-site-verification=mFZ-iiJZFin0MGZzSO0tTNPScf58aFWX3PGhmwq-_6o"
hadopi.fr.                    3600    IN        A          46.255.180.7
hadopi.fr.                    3600    IN        MX      1 mx.hadopi.fr.
hadopi.fr.                    3600    IN        SOA     dns16.ovh.net. tech.ovh.net. 2013070100 86400 3600 3600000 86400
hadopi.fr.                    3600    IN        NS        ns16.ovh.net.
hadopi.fr.                    3600    IN        NS        dns16.ovh.net.

Vous pouvez avoir le manuel de la commande host en tapant man host, dans Kali Linux il est un Anglais, vous trouverait sa traduction sur cette page.

Extraire les informations du DNS avec nslookup ou dig

Maintenant que nous avons une réussis à obtenir avec plus ou moins de succès une liste de contact mais sur tous de DNS, on va pouvoir essayer de faire une liste plausible d’adresse IP à attaquer. N’oubliez pas que notre principale objective est de trouver une liste de cible possible d’adresse IP à attaquer.

Les DNS sont parmi des cibles de premier ordre pour les pirates, et ces toute a fait normal car c’est un point central d’un réseau puisqu’ils font la conversion des noms de domaines en adresse IP. Comme vous l’avez compris nous avons déjà les noms de domaines, donc idéal pour trouver des IP. Mais attention à ne pas faire n’importe quoi, si le propriétaire du nom de domaine n’appartient pas à la cible mais par exemple à un sous-traitant comme un hébergeur alors qui sera à votre avis la cible ?

La commande nslookup

nslookup va nous permettre d’interroger les serveurs DNS pour connaitre les hôtes enregistrait sur le réseau de la cible. Par la suite on pourra connaitre l’adresse l’IP avec la commande host. nslookup un programme qui fonctionne en terminale sous les trois principaux O. S, Il aura juste quelques différences selon les versions ou le système d’exploitation.

Lancer le programme en tapant du terminal pour opérer en mode interactif.

nslookup

Pour avoir des informations taper  le nom de domaine

> hadopi.fr
Non-authoritative answer:
Name:hadopi.fr
Address: 46.255.180.7

Si nous voulons des informations générales, Il est possible de modifier le mode d’interrogation de la commande nslookup grâce à la clause set, il nous suffit de fixer le type à any :

> set type=any
> hadopi.fr
Non-authoritative answer:
hadopi.fr text = "google-site-verification=mFZ-iiJZFin0MGZzSO0tTNPScf58aFWX3PGhmwq-_6o"
Name: hadopi.fr
Address: 46.255.180.7
hadopi.fr mail exchanger = 1 mx.hadopi.fr.
hadopi.fr
 origin = dns16.ovh.net
 mail addr = tech.ovh.net
 serial = 2013070100
 refresh = 86400
 retry = 3600
 expire = 3600000
 minimum = 86400
hadopi.fr nameserver = dns16.ovh.net.
hadopi.fr nameserver = ns16.ovh.net.

Si vous avez un œil averti ou déjà gérer un site vous avez sans doute déjà remarqué la première ligne, à première vu il semblerait que le site hadopi.fr à un compte Google, ce qui ouvre vers une autre piste.

Si nous voulons d’information plus précise, nous pouvons utiliser d’autres options.

• set type=mx permet de recueillir les informations concernant le ou les serveurs de messagerie d’un domaine.
• set type=ns permet de recueillir les informations concernant le serveur de noms associé au domaine
• set type=a permet de recueillir les informations concernant un hôte du réseau. Il s’agit du mode d’interrogation par défaut.
• set type=soa permet d’afficher les informations du champ SOA (Start Of Authority).
• set type=cname permet d’afficher les informations concernant les alias.
• set type=hinfo permet, lorsque ces données sont renseignées, d’afficher les informations concernant le matériel et le système d’exploitation de l’hôte.

À première vue on dirait que cette recherche n’a pas été très fructueuse, le nom de domaine hadopi.fr est héberger chez un prestataire (ovh) et non dans sur le réseau du propriétaire. Mais si on regarde de plus près on peut voir de le site hadopi.fr à son propre serveur de messagerie, ce qui peut être une cible potentielle pour un pirate. On peut maintenant se servir de host pour connaitre l’adresse IP associer à son hôte.

host mx.hadopi.fr
mx.hadopi.fr has address 213.215.11.66

La commande dig

dig est un programme en ligne de commande de débogage de serveurs DNS. Il signifie Domain Information Groper, littéralement Chercheur d’Information sur les Domaines. Il permet d’interroger le serveur DNS de son choix.

Par exemple, voici comment demander les enregistrements DNS pour le nom hadopi.fr

root@kali:~# dig hadopi.fr
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> hadopi.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- 0="" 1="" 3600="" 4399="" 46.255.180.7="" a="" additional:="" answer:="" answer="" authority:="" flags:="" font="" hadopi.fr.="" id:="" in="" noerror="" opcode:="" qr="" query:="" query="" question="" ra="" rd="" section:="" status:="">

On peut faire la même chose avec une adresse IP

dig @ip_cible

Dig permet d’interroger les champs MX, A, CNAME, TXT, …

• MX : serveurs de mails
• A : configuration de l’IP associée à un domaine
• AAAA: configuration de l’IPv6 associée à un domaine
• CNAME : configuration d’un IP par l’intermédiaire d’un autre nom de domaine
• TXT : divers
• NS: les serveurs DNS primaires

Voici quelque syntaxe de commande :

dig MX hadopi.fr
dig TXT hadopi.fr
dig CNAME hodopi.fr
dig NS hodopi.fr

Vous pouvez aussi afficher toutes les information avec avec l’opion ANY

root@kali:~# dig hadopi.fr ANY
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> hadopi.fr ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- 0="" 1="" 2013070100="" 29511="" 3600000="" 3600="" 46.255.180.7="" 6="" 86400="" a="" additional:="" answer:="" answer="" any="" authority:="" dns16.ovh.net.="" flags:="" font="" google-site-verification="mFZ-iiJZFin0MGZzSO0tTNPScf58aFWX3PGhmwq-_6o" hadopi.fr.="" id:="" in="" mx.hadopi.fr.="" mx="" noerror="" ns16.ovh.net.="" ns="" opcode:="" qr="" query:="" query="" question="" ra="" rd="" section:="" soa="" status:="" tech.ovh.net.="" txt="">

Les transfères de zone DNS

Comme vous le savez, les serveurs DNS mettent en correspondance les adresse IP et le nom d’hôte. Pour des raisons de sécurité redondante sur les grands réseaux, on déploie plusieurs DNS, ainsi le DNS maître envoie toutes les correspondances des hôtes et adresse IP au DNS esclave. Pour que la synchronisation des DNS soit assurée on utilise un mécanisme de partage des informations : le transféré de zone, appeler également AXFR. Normalement un administrateur avisé ne permettra pas un transfère de zone depuis l’extérieur mais dans le cas contraire nous obtiendrons une liste des hôtes et adresse IP fournis par le serveur DNS associé au domaine ciblé. Avec dig, on peut très facilement essayer de faire un transfère de zone avec la commande suivante :

root@kali:~# dig NS @dns16.ovh.net hadopi.fr AXFR
;; Warning, extra type option<
 <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> NS @dns16.ovh.net hadopi.fr AXFR
; (2 servers found)
;; global options: +cmd
; Transfer failed.

Connaissant la popularité d’hadopi est l’appartenance de l’organisation, il n’est pas étonnant que le transfère de zone soit interdit mais ce n’est pas toujours le cas. Les interactions avec dig sont très vastes le programme est très complet, voir plus que nslookup. En cas d’un premier refus il ne faut pas se décourager car il y a de nombreuses méthodes pour faire des transfère de zone, rien n’est standardisé, il faut sans cesse essayer, jusqu’à trouver la faille comme dans cette exemple.

En conclusion

Alors que pouvons-nous faire des informations trouver comment l’adresse Ip du serveur de messagerie, à vrai dire, tous et rien. Dans un premier temps on pourrai par exemple (c’est vraiment à titre d’exemple) faire un scan avec par Nmap pour trouver la version du système, par la suite on pourrait voir s’il y a un exploit public à exploiter. On pourrait faire aussi une attaque Brute Force avec par exemple hydra mais serait facilement détecté par un IDS. Une fois dans le serveur de messagerie un pirate pourrait lire les emails voir trouver d’autre adresse IP en lisant les en tête des emails.