Recientemente, realicé una exploración del servicio nmap contra una lista de dominios y uno de los scripts de NSE que se ejecutaban era cadenas de huellas dactilares.
Este script aparentemente extrae cadenas ASCII de servicios no identificados.
Dado que los dominios son servidores web y el puerto es 443, las cadenas de huellas dactilares responden con http o html. Y una de las salidas es la siguiente:
DNSStatusRequest, DNSVersionBindReq, Ayuda, Kerberos, RPCCheck, SMBProgNeg, SSLSessionReq, TLSSessionReq:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:47 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
FourOhFourRequest, GetRequest, HTTPOptions:
HTTP/1.1 404 Date: Thu, 01 Mar 2018 11:02:40 GMT Content-Length: 0 Connection: close
JavaRMI, NCP, NotesRPC, TerminalServer, WMSRequest, oracle-tns:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:49 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
LANDesk-RC, LDAPBindReq, LDAPSearchReq, LPDString, SIPOptions, X11Probe:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:48 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
RTSPRequest:
<html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
afp, giop:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:50 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
tor-versiones:
HTTP/1.1 400 Bad Request Server: awselb/2.0 Date: Thu, 01 Mar 2018 11:02:40 GMT Content-Type: text/html Content-Length: 138 Connection: close <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> </body> </html>
He reunido un par de salidas de cadenas de huellas dactilares de los dominios y no todas ellas están dentro.
Básicamente, me pregunto si esta confirmación de que se está ejecutando un servicio oculto en este dominio, ¿o hay otra prueba o escaneo de nmap que pueda ejecutar para confirmar esto? Si no es confirmación, entonces ¿por qué estoy obteniendo esta salida?