Reconocimiento Pasivo
El reconocimiento pasivo es una fase de recolección de información en un proceso de hacking ético o pentesting, en la que se obtienen datos sobre un objetivo sin interactuar directamente con él. A diferencia del reconocimiento activo, no se generan solicitudes ni tráfico que pueda alertar al sistema objetivo.
1. Reconocimiento DNS
1. Whois del dominio. Esto sirve para extraer información básica sobre cuándo se registró el dominio, el nombre y el contacto de la empresa registradora del dominio, información de los nameservers, datos de la IP y, a veces, incluso datos del registrante.
whois tryhackme.com2. Buscar registros específicos de DNS con nslookup. Podemos usar cualquier servidor de nombres público para realizar consultas. Aquí usamos de ejemplo el de Cloudflare (1.1.1.1).
nslookup -type=A tryhackme.com 1.1.1.1 # IPv4 Addresses
nslookup -type=AAAA tryhackme.com 1.1.1.1 # IPv6 Addresses
nslookup -type=CNAME tryhackme.com 1.1.1.1 # Canonical name
nslookup -type=MX tryhackme.com 1.1.1.1 # Mail servers
nslookup -type=SOA tryhackme.com 1.1.1.1 # Start Of Authority
nslookup -type=TXT tryhackme.com 1.1.1.1 # Registros TXT
nslookup -type=A tryhackme.com # Usa nameserver de tu equipoConocer los registros MX es importante porque nos dicen a qué servidor se contacta cuando se envía un correo a, en este caso, @tryhackme.com.
También podemos usar dig para este cometido, el cual nos suele devolvér más información y algo más técnica.
# Usando NS del ISP
dig tryhackme.com MX
# Usando otro NS
dig @1.1.1.1 tryhackme.com AAAA3. Además de los comandos anteriores, resulta interesante consultar esta información en sitios web como dnsdumpster.com. DndDumpster es una base de datos de dominios ya escaneados que podemos consultar para obtener información adicional de forma pasival, como subdominios ya escaneados por esta plataforma, relaciones y otra información de interés. Otra web que nos puede interesar es crt.sh, el cual es un servicio de búsqueda de certificados SSL/TLS que nos permite buscar subdominios con consultas comodín como %.tryhackme.com.
4. Otra fuente muy buena es www.shodan.io. Esta plataforma es el equivalente a Google, pero no solo para páginas web, sino para cualquier dispositivo conectado. Aquí podemos buscar por el nombre del dominio o la IP para obtener más información que puede ser relevante en estas fases.
2. Google Dorks
Google Dorks es una técnica de búsqueda avanzada que utiliza operadores especiales para encontrar información oculta o sensible en sitios web indexados por Google, como archivos confidenciales, cámaras abiertas o paneles de administración. Es ampliamente usada en OSINT y ciberseguridad.
Algunos filtros
| Operador | Descripción | Ejemplo |
|---|---|---|
site: | Busca dentro de un sitio web específico | site:example.com |
filetype: | Busca archivos por tipo | filetype:pdf |
ext: | Similar a filetype:, pero para extensiones | ext:xls |
intitle: | Encuentra palabras en el título de la página | intitle:"admin login" |
inurl: | Busca palabras dentro de la URL | inurl:login |
cache: | Muestra la versión en caché de una página | cache:example.com |
intext: | Busca palabras dentro del contenido | intext:"confidential" |
allinurl: | Todas las palabras deben estar en la URL | allinurl:admin dashboard |
allintitle: | Todas las palabras deben estar en el título | allintitle:secure login |
define: | Busca definiciones de palabras | define:hacking |
