Recentemente ho eseguito una scansione del servizio nmap su un elenco di domini e uno degli script NSE in esecuzione era costituito da stringhe di impronte digitali.
Questo script estrae apparentemente stringhe ASCII da servizi non identificati.
Poiché i domini sono server Web e la porta è 443, le stringhe delle impronte digitali rispondono con http o html. E una delle uscite è sotto:
DNSStatusRequest, DNSVersionBindReq, Help, Kerberos, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:47 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
FourOhFourRequest, GetRequest, HTTPOptions:
HTTP/1.1 404 Date: Thu, 01 Mar 2018 11:02:40 GMT Content-Length: 0 Connection: close
JavaRMI, NCP, NotesRPC, TerminalServer, WMSRequest, oracle-tns:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:49 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, SIPOptions, X11Probe:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:48 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
RTSPRequest:
<html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
afp, giop:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:50 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
tor-versions:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:40 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
Ho raccolto un paio di stringhe di impronte digitali dai domini e non tutte le hanno all'interno.
Fondamentalmente mi chiedo se questa conferma è che un servizio nascosto è in esecuzione su questo dominio, o c'è un altro test o scansione nmap che posso eseguire per confermare questo? Se non è una conferma, allora perché sto ottenendo questo risultato.