mobile wallpaper 1mobile wallpaper 2mobile wallpaper 3mobile wallpaper 4
Profile Image of the Author
AbuElOyun
Announcement
This blog is designed as a structured revision resource to reinforce and simplify what you've already learned, not as a primary learning source.
Tags
718 words
4 minutes
HTB | 1NF0-G4TH3R – Whois
2026-04-06
Information-Gathering Series
Record WHOIS
/
WHOIS Lookup

Whois هو يعتبر بروتوكول أو أداة شغلته إنه يجمع بشكل أساسي معلومات عن الموارد المسجلة على الإنترنت وغالبًا بيُستخدم عشان تعرف معلومات عن domain names وكمان ممكن يجيب معلومات عن عناوين IP وAutonomous Systems.

مثال يوضح الكلام ده أكتر:

عندي شخصين user1 & user2. دلوقتي user2 معاه حاجة زي دفتر متخزن فيه جميع أسماء الناس اللي عايشين في البلد، وجنب كل اسم فيه شوية معلومات زي رقم الاتصال، مكان السكن، وتواريخ مهمة زي امتى سجل الشخص في البلد (Creation Date) وامتى هينتهي تسجيله (Expiration Date).

وفي يوم جه user1 محتاج يعرف معلومات عن شخص معين، فالأكيد هيروح لـ user2 لأنه هو معاه الدفتر اللي يقدر يوصل منه للمعلومات. فـ user1 يروح لـ user2 ويقوله: “أنا عايز معلومات عن الشخص كذا”، وuser2 ياخد الاسم ويروح للدفتر، يدور لحد ما يجيب الاسم والمعلومات، ويرجع يقول له.

هنا user2 يعتبر وسيط، لأنه هو اللي عنده صلاحية الوصول للدفتر، ولما حد يحتاج حاجة بيروح له عشان يجيب له المعلومات.

WHOIS بيعمل نفس اللي بيعمله user2، يعني هو أداة أو بروتوكول بيستخدم عشان تبعتله استعلام، وهو يرجعلك المعلومات من قواعد البيانات عن الموارد المسجلة على الإنترنت، زي:

  • صاحب الدومين وبيانات الاتصال (حسب سياسة الخصوصية وPrivacy Protection)
  • تاريخ تسجيل الدومين وتاريخ انتهاءه

مكونات WHOIS#

كل record في WHOIS عادة بيحتوي على المعلومات التالية:

  • الـ Domain Name : اسم الدومين نفسه (مثال: example.com)
  • الـ Registrar : الشركة اللي سجلت عندها الدومين (مثال: GoDaddy أو Namecheap)
  • الـ Registrant Contact : الشخص أو المؤسسة اللي سجلت الدومين
  • الـ Administrative Contact : الشخص المسؤول عن إدارة الدومين
  • الـ Technical Contact : الشخص اللي بيتعامل مع المشاكل التقنية الخاصة بالدومين
  • الـ Creation and Expiration Dates : امتى إتسجيل الدومين وامتى هيخلص تسجيله
  • الـ Name Servers : الخوادم اللي بتحول اسم الدومين لعناوين IP

ليه WHOIS مهم في (Web Recon)#

بيانات WHOIS تعتبر كنز من المعلومات خلال مرحلة الـ reconnaissance قبل أي تقييم أمني لأن ممكن يعرفو منها:

• مصدر معلومات عن الأشخاص المسؤولين#

سجلات WHOIS ممكن تكشف اسماء، إيميلات، وأرقام تليفونات الأشخاص اللي مسؤولين عن الدومين.
الباحث الأمني ممكن يستخدمها لفهم مين المسؤولين أو حتى لهجمات Social Engineering أو Phishing.

• كشف بنية الشبكة#

تفاصيل زي الـ Name Servers وعناوين IP بتدي معلومات عن الشبكة الداخلية للهدف.
ده بيساعد الباحث على تحديد نقاط ضعف ممكنة أو أخطاء إعدادات الشبكة.

• تحليل التغييرات التاريخية#

الوصول لسجلات WHOIS القديمة عبر خدمات زي WhoisFreaks بيكشف تغييرات في الملكية، معلومات الاتصال، أو تفاصيل تقنية على مر الوقت.
ده مهم لفهم تطور البصمة الرقمية للهدف وكيف اتغيرت عبر الزمن.

هحكيلك سيناريو هيساعدك إنك تفهم قيمة بيانات WHOIS.

Scenario : Phishing Investigation#

في شركة X مثلا جهاز حماية البريد الإلكتروني اللي عندها كشف رسالة مشبوهة وصلت لشوية موظفين في الشركة. الرسالة بتقول إنها من بنك الشركة وبتطلب من الناس الضغط على رابط لتحديث بيانات الحساب. الراجل المسؤول عن security analyst بدأ التحقيق بعمل WHOIS lookup على الدومين اللي في الرسالة.

بعد ما عمل Whois lookup اكتشف الآتي:

  • Registration Date: الدومين اتسجل من أيام قليلة.
  • Registrant: المعلومات مخفية عبر خدمة خصوصية.
  • Name Servers: الخوادم مرتبطة بمزود استضافة معروف باسم Bulletproof Hosting وغالبًا بيستخدم لأغراض ضارة.

المعلومات دي مع بعضها بقت Red Flags كبيرة. تاريخ التسجيل الجديد، البيانات المخفية، والاستضافة المشبوهة كلها تشير لإحتمالية وجود Phishing Email. المحلل بلغ بسرعة قسم الـ IT لحظر الدومين ويحذر الموظفين.

لما الرسالة تكون (Phishing Email)، غالبًا فيها رابط بيحاول يخدعك تدخل عليه. الدومين اللي هنعمله WHOIS lookup بيكون جزء من الرابط في الرسالة، مش بالضرورة اسم البنك أو الشركة الحقيقي اللي الظاهر في الرسالة.

مثال على (Phishing Email)

🏦
Your Bank
support@yourbank.com
⚠️ Urgent: Verify Your Account Information
. Dear Customer,

. We detected unusual activity on your bank account.
To ensure your account remains secure, please verify your information immediately.

. .
Or copy and paste this link into your browser:
https://example-bank123.com/login
.

. Failure to verify your account within 24 hours may result in temporary suspension.

. Best regards,
Your Bank Security Team

الدومين الحقيقي اللي هنعمله WHOIS lookup هو:
example-bank123.com

مش yourbank.com، لأن ده مجرد اسم ظاهر في الإيميل عشان يخدعك.

Using WHOIS#

مثال استخدام WHOIS على facebook.com#

علشان تستخدم WHOIS وتوصل للبيانات بأسهل طريقة هي تستخدم أمر whois في التيرمنال.

AbuEIOyun1@kali[~]$ whois facebook.com


Domain Name: FACEBOOK.COM
Registry Domain ID: 2320948_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.registrarsafe.com
Registrar URL: http://www.registrarsafe.com/
Updated Date: 2024-04-24T19:06:12Z
Creation Date: 1997-03-29T05:00:00Z
Registry Expiry Date: 2033-03-30T04:00:00Z
Registrar: RegistrarSafe, LLC
Registrar IANA ID: 3237
Registrar Abuse Contact Email: abusecomplaints@registrarsafe.com
Registrar Abuse Contact Phone: +1-650-308-7004
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Domain Status: serverDeleteProhibited https://icann.org/epp#serverDeleteProhibited
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: serverUpdateProhibited https://icann.org/epp#serverUpdateProhibited
Name Server: A.NS.FACEBOOK.COM
Name Server: B.NS.FACEBOOK.COM
Name Server: C.NS.FACEBOOK.COM
Name Server: D.NS.FACEBOOK.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
Last update of whois database: 2024-06-01T11:24:10Z <<<

في النتيجة دي هتلاقي شوية تفاصيل رئيسية عن facebook منها :#

1. (Domain Registration)#

  • Registrar: RegistrarSafe, LLC
  • Creation Date: 1997-03-29
  • Expiry Date: 2033-03-30

ده بيورينا إن الدومين مسجل عند RegistrarSafe, LLC وتم تسجيله أول مرة يوم 29 مارس 1997، وموعد انتهاء التسجيل هيكون 2033.

2. (Domain Owner)#

  • Organization: Meta Platforms, Inc.
  • Contact: Domain Admin

ده الشخص أو المؤسسة المسؤولة عن الدومين سواء للإدارة أو للجانب الفني.

3. (Domain Status)#

  • clientDeleteProhibited
  • clientTransferProhibited
  • clientUpdateProhibited
  • serverDeleteProhibited
  • serverTransferProhibited
  • serverUpdateProhibited

الحالات دي بتوضح القيود الأمنية اللي مفروضة على الدومين لمنع حذفه، نقله، أو تعديل بياناته بدون إذن.

4. (Name Servers)#

  • A.NS.FACEBOOK.COM
  • B.NS.FACEBOOK.COM
  • C.NS.FACEBOOK.COM
  • D.NS.FACEBOOK.COM

الخوادم دي مسؤولة عن تحويل اسم الدومين لعناوين IP عشان يقدر المستخدم يوصل للموقع.

Share

If this article helped you, please share it with others!

HTB | 1NF0-G4TH3R – Whois
https://abueloyun.netlify.app/posts/whois--1nf0-g4th3r/
Author
AbuElOyun
Published at
2026-04-06
License
CC BY-NC-SA 4.0

Some information may be outdated

HTB | 1NF0-G4TH3R – DNS & Digging
HTB | 1NF0-G4TH3R – Introduction
Related Posts Smart
1
Information Gathering — Web Edition Skill Assessment
Writeups This writeup documents my approach to the HTB Information Gathering — Web Edition skill assessment.
2
HTB | 1NF0-G4TH3R – OSINT & Web Archives
Information-Gathering Series An overview of OSINT techniques in web reconnaissance, including search engine discovery, Google Dorking, and the use of web archives like the Wayback Machine to uncover hidden and historical website data.
3
HTB | 1NF0-G4TH3R – Crawling
Information-Gathering Series A practical introduction to web crawling for reconnaissance, covering crawler behavior, robots.txt, .well-known URLs, crawling strategies, and extracting valuable data from target websites.
4
HTB | 1NF0-G4TH3R – Fingerprinting
Information-Gathering Series A hands-on guide to web fingerprinting, covering techniques like banner grabbing, HTTP header analysis, and tools such as Wafw00f and Nikto to uncover technologies and potential vulnerabilities.
5
HTB | 1NF0-G4TH3R – Subdomain Enumeration
Information-Gathering Series Discovering hidden subdomains and expanding the attack surface through passive and active reconnaissance techniques.
Random Posts Random
1
HTB | 1NF0-G4TH3R – Introduction
Information-Gathering Series 2026-04-04
2
HTB | 1NF0-G4TH3R – OSINT & Web Archives
Information-Gathering Series 2026-05-06
3
HTB | 1NF0-G4TH3R – Fingerprinting
Information-Gathering Series 2026-04-30
4
HTB | 1NF0-G4TH3R – DNS & Digging
Information-Gathering Series 2026-04-09
5
HTB | 1NF0-G4TH3R – Crawling
Information-Gathering Series 2026-05-04
© 2026 AbuElOyun. All Rights Reserved
Powered by Astro & Mizuki  Version 9.0

Table of Contents