Wh01p: ¿Qué hay detrás de esa IP?

Buenas,

Cada vez que realizo un análisis de visibilidad o compruebo que hay detrás de un dominio sospechoso de ser un fraude, tengo que tirar de servicios online para obtener información como el whois, geolocalizar una IP u obtener el rango de IP. Este tipo de servicios cuentan con un reto captcha y/o un limitador de intentos al día por dirección IP origen e incluso una validación a nivel de navegador para evitar scripting (aunque con Seleniun se puede bypass)  para evitar un abuso de funcionalidad. Algunos de ellos cuentan con versiones free con estas limitaciones o tienes que invertir tu «money» para obtener una cuenta premium. Algunos de los servicios que suelo emplear son:

  • https://bgp.he.net/
  • https://whois.domaintools.com/

Debido a qué meter el captcha de Google es un coñazo y si además tus compañeros de curro tiran de estas herramientas, Google se motiva poniendo esos captcha sinfín, estos días pensé en la manera de automatizar estas funcionalidades empleando API’s de otros servicios o empleando algunas librerías dedicadas.

 

Por todo ello, he desarrollado la tool «Wh01p» que podéis descargar desde mi github para automatizar las siguientes tareas:

  •  Whois
  • Geolocalización
  • Información sobre la red, especialmente el rango de IP’s

Sin embargo, una vez hecho le incorpore unos pequeños scripts de andar por casa para obtener los puertos abiertos empleando las API’s de Shodan y Censys, otorgando esta funcionalidad.

  •  Whois
  • Geolocalización
  • Información sobre la red, especialmente el rango de IP’s
  • Identificación de puertos abiertos y protocolos

Para el caso del Whois busqué scripts en githubs pero tras testearlos algunos por encima no me gustaron y como alguna vez he escrito por aquí, llega un momento en el que prefiero pegarme programándolo que interpretar un desarrollo de un tercero pues NO soy programador y hay algunos desarrollos bastante duros de entender.

Para la obtención de las funcionalidades anteriormente citadas se ha empleado lo siguiente:

  • Whois: Librería instalada en Kali Linux por defecto.
  • Geolocalización: Servicio online gratuito freegeoip.net que no está nada mal.
  • Información sobre la red, especialmente el rango de IP’s: API de Robtex
  • Identificación de puertos abiertos y protocolos: APIS de Shodan y Censys

Sin más, vamos a ver como funciona la tool:

 

Para que no funcione la herramienta, tenéis que entrar en los módulos correspondientes de Censys y Shodan para establecer los valores de SECRET Y UID en el caso de Censys, mientras el valor de la API para Shodan.

Permite incluir un target, ya sea dominio o dirección IP. En este caso, se ha pasado el dominio «elpais.es»:

 

 

Se obtiene información de sobre la red, geolocalización, whois,..

Y puertos abiertos:

 

 

En esta ocasión no he añadido ninguna funcionalidad de reporte o exportación de resultados. Tengo en mente en un documento .docx, quizás más adelante lo implemente, pero por ahora no. Si alguien quiere colaborar y realizar esta funcionalidad estaría genial guiño guiño 😉

En esta ocasión y a diferencia de mis desarrollos, lo he programado de manera estructurada y granulada mediante módulos para facilitar cualquier incorporación de nuevas funcionalidades.

Este desarrollo no es nada novedoso que no exista ya, tan sólo una herramienta local de desarrollo propio que permite obtener información evitando introducir retos captchas que subo a mi github para tenerlo a mano y que comparto con la comunidad por si le puede ser útil a alguien.

El desarrollo y uso de esta herramienta esa enfocada a fines formativos y de recogida de información de servicios online, no obstante, no nos hacemos responsables de uso para otro fin diferente.

Nos vemos en la próxima entrada 😉

N4xh4ck5

«La mejor defensa es un buen ataque»

3 comentarios en «Wh01p: ¿Qué hay detrás de esa IP?»

  1. Bastante claro lo de los módulos;
    «https: // github. com/ n4xh4ck5/ wh01p/blob/ master/modules/getwhois/ getwhois.py »
    os informo que cuando uso «GetWhois» sobre «el pais . es» me indica amablemente que me dirija a «nic . es» y consulte por la página web *imagino que es porque estoy fuera de España y el servidor allá tiene su geolocalizador bien activado * 😎

    1. Hola Jimmy,

      Te comentó al realizar el whois sobre dominios «.es» la librería Whois de Kali Linux no puede resolverlo al ser propio del nic como comentas. Por ello, el script hace un reverse-dns para obtener la dirección IP, pues con las IP’s la librería no da problema.

      Gracias por tu comentario y valoración.

Los comentarios están cerrados.