knock icon indicating copy to clipboard operation
knock copied to clipboard

Published 20 hours ago verified publisher icon guelfoweb

Falsi positivi a causa di OpenDNS o servizi similari

Open drego85 opened this issue 11 years ago • 5 comments

Il procediamo di bruteforce restituisce dei falsi positivi se si utilizzano i DNS di Open DNS (credo anche Alice) poichè se un sotto dominio non esiste non viene restituito l'errore "404 - Not Found" ma si viene dirottati al motore di ricerca di OpenDNS/Google che permette di visualizzare i risultanti più attinenti all'indirizzo richiesto.

Esempio, digitando l'indirizzo 0.oversecurity.it si viene re-indirizzati al seguente sito: http://www.website-unavailable.com/main?wc=EA5qEg94AXRIAApyBAEdFxUBThAB&url=0.oversecurity.it&w=1280&h=617&ifc=0

Questo indirizzamento crea un falso positivo nella lista dei risultati: http://pastebin.com/ACEBGs8B

Anche Alice se ben ricordo offre un servizio similare, ma devo verificarlo.

Personalmente opterei per dare la possibilità all'utente di disabilitare la wordlist e creare un elenco di siti da non considerare, in questo caso website-unavailable.com.

Grazie Andrea

drego85 avatar Feb 20 '14 20:02 drego85

Si, i dns sono un problema. Anche quelli di alice, confermo! Modifica /etc/resolv.conf e usa quelli di google: 8.8.8.8 4.4.4.4

Puoi ignorare la wordlist esistente e usarne una tua: $ python knock.py --wordlist nomefile.txt

Grazie a te per il feedback.

guelfoweb avatar Feb 20 '14 20:02 guelfoweb

Output usando i dns di Google. webmail e www risultano essere due alias.

$ python knock.py oversecurity.it Getting NS records for oversecurity.it

Ip Address Server Name

213.251.188.149 dns105.ovh.net 213.251.128.149 ns105.ovh.net

Getting subdomain for oversecurity.it

Ip Address Domain Name

91.121.178.27 mail.oversecurity.it 91.121.178.27 webmail.oversecurity.it 91.121.178.27 oversecurity.it 91.121.178.27 www.oversecurity.it 91.121.178.27 oversecurity.it

Ip Addr Summary

91.121.178.27

Found 4 subdomain(s) in 1 host(s).

guelfoweb avatar Feb 20 '14 20:02 guelfoweb

;) perfetto, eri già a conoscenza di questo problema! La soluzione era "ovvia" ma ho preferito segnalartela perché può sfuggire a tutti come problematica.

Come mai hai eliminato l'enumerazione mediante Google? Troppo dispersiva?

drego85 avatar Feb 20 '14 20:02 drego85

Hai fatto bene a puntualizzare. Se ti riferisci alla dork "site:domain.com -www" non è mai stata implementata.

guelfoweb avatar Feb 20 '14 23:02 guelfoweb

Allora mi confondo con un altro tools, scusami! Ero convinto che prima fosse implementata la dork di google!

Il 21/02/14 00:14, Gianni Amato ha scritto:

Hai fatto bene a puntualizzare. Se ti riferisci alla dork "site:domain.com -www" non è mai stata implementata.

— Reply to this email directly or view it on GitHub https://github.com/guelfoweb/knock/issues/1#issuecomment-35681334.

drego85 avatar Feb 21 '14 09:02 drego85