SYNsthesia

En su día, ya hable de un par de utilidades para trabajar con DNS’s, hacer consultas y demás. Hoy, doy un paso mas, y os muestro un par de utilidades, que nos serán interesantes (como alternativas a otros programas de pago como Bidiblah de Sensepost, una herramienta, que no se merece ser de pago, ya que existen alternativas, como digo, gratuitas, y que dan los mismos resultados, incluso mejores) para recabar información acerca de un dominio, ver sus subdominios y que subredes tienen contratadas, útiles para realizar investigaciones de otras empresas (e incluso de personas).

Estas dos utilidades de DNS crawling o de domain crawling son DNSenum (en su versión 1.2, es el mejor de estos dos), permite abrir varios hilos, realizar consultas A, NS y MX, permite hacer scraping con google, y fuerza bruta, se retroalimenta de los dominios encontrados (por si encuentra otro perteneciente a la misma empresa, realizar mas brute forcing), hacer whois y luego hacer un lookup invertido, es rápida, ligera e increíblemente versátil. Necesitáis un fichero generado para fuerza bruta, el que viene en bidiblah esta bien, pero también os recomiendo buscar alguna lista de passwords típicas (en packetstorm por ejemplo), que sean mas neutrales, muchas veces, los prefijos, no es raro encontrar cosas como info, unix, shell, lib, test, testuser, systest, log, host, etc, así que, que no os extrañe que os recomiende incluir alguna lista de ese tipo. La recomiendo. Aquí la salida del fichero de ayuda (la he capado un poco por problemas a la hora de publicar el post, ya que identifica las opciones como etiquetas del sistema de CMS que utilizo):

dnsenum.pl VERSION:1.2
Usage: dnsenum.pl [Options]
[Options]:
Note: the brute force -f switch must be specified to be able to continue
the process execution.
GENERAL OPTIONS:
–dnsserver
Use this DNS server for A, NS and MX queries.
–enum Shortcut option equivalent to –threads 5 -s 20 -w.
-h, –help Print this help message.
–noreverse Skip the reverse lookup operations.
–private Show and save private ips at the end of the file
domain_ips.txt.
–subfile Write all valid subdomains to this file.
-t, –timeout The tcp and udp timeout values in seconds
(default: 10s).
–threads The number of threads that will perform different
queries.
-v, –verbose Be verbose: show all the progress and all the error
messages.
GOOGLE SCRAPING OPTIONS:
-p, –pages The number of google search pages to process when
scraping names, the default is 20 pages,
the -s switch must be specified.
-s, –scrap The maximum number of subdomains that will be scraped
from google.
BRUTE FORCE OPTIONS:
-f, –file Read subdomains from this file to perform brute force.
-u, –update [ a |g|r|z ]
Update the file specified with the -f switch with
vaild subdomains.
a (all) Update using all results.
g Update using only google scraping results.
r Update using only reverse lookup results.
z Update using only zonetransfer results.
-r, –recursion Recursion on subdomains, brute force all discovred
subdomains that have an NS record.
WHOIS NETRANGE OPTIONS:
-d, –delay The maximum value of seconds to wait between whois
queries, the value is defined randomly, default: 3s.
-w, –whois Perform the whois queries on c class network ranges.
**Warning**: this can generate very large netranges
and it will take lot of time to performe reverse
lookups.
REVERSE LOOKUP OPTIONS:
-e, –exclude
Exclude PTR records that match the regexp expression
from reverse lookup results, useful on invalid
hostnames.

La segunda utilidad es dnsmap, esta utilidad, también es rápida, pero es mas limitada, sirve para hacer un mini-bruteforce y sacar algunos dominios con los prefijos mas usuales (ftp, www3, www, mail, etc). Si queréis potencia, sin duda la primera, si queréis simplificar, la segunda.

Por cierto, la web de DNSMap, a veces os la podéis encontrar caída, utiliza dyndns, con lo que redirecciona al servidor del autor, y puede que a veces lo tenga apagado

Mas información

DNSMap | Web Oficial
DNSEnum | Web Oficial