[OSCP] 정보수집 - Whois Enumeration

WHOIS란?
간단히 말해, WHOIS는 도메인 이름이나 IP 주소에 대한 등록 정보를 제공하는 서비스입니다. 마치 인터넷의 전화번호부 같은 역할을 하죠. 도메인을 등록할 때, 도메인 소유자, 관리자의 이름과 연락처 같은 정보가 WHOIS 데이터베이스에 기록됩니다.

WHOIS 조회를 통해 우리는 이 데이터를 볼 수 있게 됩니다.

하지만, 최근 개인정보 보호와 관련된 이슈가 커지면서 많은 도메인 등록자들은 개인정보 보호 서비스를 통해 WHOIS에서 공개되는 정보를 최소화하고 있습니다. 그럼에도 불구하고 도메인 등록 기관, 도메인의 생성 및 만료 날짜, 네임서버 정보 등은 여전히 유용하게 활용될 수 있습니다.

WHOIS 정보는 어디에 활용되나요?
WHOIS 정보는 여러 방면에서 유용하게 쓰입니다. 특히 보안 및 IT 관리에서는 매우 중요한 역할을 합니다. 다음은 WHOIS 정보가 활용되는 몇 가지 주요 사례입니다.

1. 도메인 소유자 확인
WHOIS를 통해 도메인 이름의 소유자가 누구인지 확인할 수 있습니다. 이 기능은 특히 도메인 분쟁이 발생했을 때 소유권을 입증하는 데 중요한 자료로 사용됩니다.

2. 보안 분석 및 침해사고 대응
사이버 공격 중에 사용된 도메인이나 IP 주소의 소유자를 확인하여 공격자가 누구인지 추적하는 데 도움이 됩니다. 

예를 들어, 피싱 웹사이트나 악성 도메인을 발견했을 때 WHOIS를 조회하여 해당 도메인의 소유자 정보를 통해 공격의 근원을 파악할 수 있습니다.

3. 도메인 만료일 관리
WHOIS 정보를 통해 도메인의 등록일과 만료일을 확인할 수 있습니다. 이는 도메인 소유자가 만료 전에 도메인을 갱신할 수 있도록 돕고, 도메인 만료로 인한 서비스 중단을 방지하는 데 유용합니다.

4. 네트워크 문제 해결
도메인의 네임서버 정보를 확인할 수 있어서, 도메인 관련 문제나 네트워크 문제를 해결할 때 참고할 수 있습니다. 네임서버의 설정 오류나 변경 사항이 있을 때 WHOIS 정보를 조회하여 문제의 원인을 쉽게 파악할 수 있습니다.

WHOIS 정보에서 주목해야 할 주요 포인트
WHOIS 정보를 조회할 때는 다음과 같은 몇 가지 주요 항목에 주목해야 합니다.

1. 도메인 소유자 정보
가장 중요한 항목 중 하나는 도메인 소유자 정보입니다. 여기에는 도메인 소유자의 이름, 주소, 이메일 등이 포함됩니다. 이 정보를 통해 도메인의 실제 소유자를 확인하고, 필요한 경우 연락할 수 있습니다. 다만, 일부 소유자는 개인정보 보호 서비스를 통해 이 정보를 숨길 수 있습니다.

2. 등록 기관 정보
도메인을 등록한 기관(레지스트라)의 정보도 확인할 수 있습니다. 이 정보는 도메인과 관련된 이슈가 발생했을 때, 등록 기관에 문의하거나 문제를 해결할 수 있도록 도와줍니다.

3. 도메인 등록 및 만료일
도메인이 언제 등록되었고, 언제 만료될 예정인지 확인할 수 있습니다. 도메인이 얼마 동안 사용되었는지, 그리고 만료가 임박한 도메인인지 파악하는 것이 가능합니다. 만약 도메인 만료일이 가까워지고 있다면 도메인 갱신이 필요한지 여부를 검토해야 합니다.

4. 네임서버 정보
WHOIS를 통해 도메인이 사용하는 네임서버 목록을 확인할 수 있습니다. 네임서버는 도메인이 웹사이트나 이메일과 같은 인터넷 서비스를 어디서 제공하는지 결정하는 중요한 요소이기 때문에, 네트워크 및 DNS 설정 문제를 해결하는 데 큰 도움이 됩니다.

WHOIS 조회 방법
WHOIS 정보를 확인하는 방법은 여러 가지가 있습니다. 가장 쉽게 사용할 수 있는 방법은 WHOIS 조회 사이트를 이용하는 것입니다. ICANN의 WHOIS Lookup이나 whois.com 같은 사이트에서 원하는 도메인 이름을 입력하면 간편하게 정보를 확인할 수 있습니다.

또는 리눅스나 macOS 사용자라면 터미널에서 명령어 한 줄로도 WHOIS 정보를 확인할 수 있습니다:

---

위에 내용은 검색해서 주요 확인해야 되는 관점이 먼지 확인 해보았다.

 

학습중에 랩을 활용한 실습이 있는데 혼선이 있었다.

랩에서는 시작버튼이 있는데 버튼을 클릭하면 동작은 된것으로 보인다.VM 창이 켜지는줄알고 한참 대기했다.

 

랩머신을 on시킨 이후 OSCP를 위해 세팅된 나의 kali에서 VPN에 연결하고 해당 랩 머신정보를 대상으로 확인하면 된다.

 

플래그를 찾으라 하는데 보통 flag{~~} 이런 형태인것은 알고 있었는데 해당 ~~내용만 적는게 아니라 OS{~~}

 처음부터 끝까지 넣어줘야함

 

1. Start up VM #1 and perform a whois query against the megacorpone.com domain using VM #1's IP address as WHOIS server. What is the hostname of the third Megacorp One name server? ns3.megacorpone.com

1. Based on the previous question answer, what is the Registrar's WHOIS server? whois.gandi.net

1. Once you've started VM #2, perform a WHOIS query on the offensive-security.com domain against the machine's IP. The flag can be found within the DNS section of the WHOIS record. OS{379ba2bb103957ffaf10caacb93dd6c3}

1. Once you've started VM #3, perform a WHOIS query on the offensive-security.com domain against the machine's IP. What's the Tech Email address? OS{d187dc242f0105726993790922600504}