hacktricks/pentesting-web/domain-subdomain-takeover.md

# ドメイン/サブドメインのテイクオーバー

{% hint style="success" %}
AWSハッキングを学び、実践する:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCPハッキングを学び、実践する: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricksをサポートする</summary>

* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください！
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
* **ハッキングのトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを送信してください。**

</details>
{% endhint %}

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=domain-subdomain-takeover)を使用して、世界で最も高度なコミュニティツールによって駆動される**ワークフローを簡単に構築し、自動化**します。\
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=domain-subdomain-takeover" %}

## ドメインテイクオーバー

もし、**スコープ内のサービスによって使用されているドメイン（domain.tld）**を発見し、**会社**がその**所有権**を失っている場合、**登録**を試みることができます（十分に安価であれば）し、会社に知らせることができます。このドメインが**セッションクッキー**のような**機密情報**を**GET**パラメータや**Referer**ヘッダーで受信している場合、これは確実に**脆弱性**です。

### サブドメインテイクオーバー

会社のサブドメインが**未登録の名前のサードパーティサービス**を指している場合、この**サードパーティサービス**で**アカウントを作成**し、使用中の**名前を登録**できれば、サブドメインのテイクオーバーを実行できます。

可能なテイクオーバーを確認するための辞書を持ついくつかのツールがあります：

* [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)
* [https://github.com/blacklanternsecurity/bbot](https://github.com/blacklanternsecurity/bbot)
* [https://github.com/punk-security/dnsReaper](https://github.com/punk-security/dnsReaper)
* [https://github.com/haccer/subjack](https://github.com/haccer/subjack)
* [https://github.com/anshumanbh/tko-sub](https://github.com/anshumanbh/tko-subs)
* [https://github.com/ArifulProtik/sub-domain-takeover](https://github.com/ArifulProtik/sub-domain-takeover)
* [https://github.com/SaadAhmedx/Subdomain-Takeover](https://github.com/SaadAhmedx/Subdomain-Takeover)
* [https://github.com/Ice3man543/SubOver](https://github.com/Ice3man543/SubOver)
* [https://github.com/m4ll0k/takeover](https://github.com/m4ll0k/takeover)
* [https://github.com/antichown/subdomain-takeover](https://github.com/antichown/subdomain-takeover)
* [https://github.com/musana/mx-takeover](https://github.com/musana/mx-takeover)
* [https://github.com/PentestPad/subzy](https://github.com/PentestPad/subzy)

#### [BBOT](https://github.com/blacklanternsecurity/bbot)を使用したハイジャック可能なサブドメインのスキャン：

サブドメインテイクオーバーのチェックは、BBOTのデフォルトのサブドメイン列挙に含まれています。シグネチャは直接[https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)から取得されます。
```bash
bbot -t evilcorp.com -f subdomain-enum
```
### サブドメイン乗っ取りの生成 via DNS ワイルドカード

DNS ワイルドカードがドメインで使用されると、そのドメインの異なるアドレスが明示的に設定されていない任意のサブドメインは、**同じ情報に解決されます**。これには A IP アドレスや CNAME などが含まれます。

例えば、`*.testing.com` が `1.1.1.1` にワイルドカードされている場合、`not-existent.testing.com` は `1.1.1.1` を指します。

しかし、IP アドレスを指すのではなく、システム管理者が **CNAME を介して第三者サービス** にポイントした場合、例えば **github サブドメイン** (`sohomdatta1.github.io`) のように、攻撃者は **自分自身の第三者ページ**（この場合は GitHub）を作成し、`something.testing.com` がそこを指していると言うことができます。なぜなら、**CNAME ワイルドカード** により、攻撃者は **被害者のドメインに対して任意のサブドメインを生成し、自分のページにポイントさせることができるからです**。

この脆弱性の例は、CTF の書き込みで見つけることができます: [https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api](https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api)

## サブドメイン乗っ取りの悪用

サブドメイン乗っ取りは、本質的に特定のドメインに対する DNS スプーフィングであり、攻撃者がドメインの A レコードを設定し、ブラウザが攻撃者のサーバーからのコンテンツを表示することを可能にします。このブラウザの**透明性**により、ドメインはフィッシングに対して脆弱になります。攻撃者はこの目的のために [_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting) や [_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger) を使用することがあります。特に脆弱なのは、フィッシングメールの URL が正当であるように見えるドメインであり、ユーザーを欺き、ドメインの固有の信頼性によりスパムフィルターを回避します。

詳細についてはこの [投稿を確認してください](https://0xpatrik.com/subdomain-takeover/)

### **SSL 証明書**

攻撃者が [_Let's Encrypt_](https://letsencrypt.org/) のようなサービスを介して生成した SSL 証明書は、これらの偽ドメインの信頼性を高め、フィッシング攻撃をより説得力のあるものにします。

### **クッキーのセキュリティとブラウザの透明性**

ブラウザの透明性は、[同一オリジンポリシー](https://en.wikipedia.org/wiki/Same-origin_policy) のようなポリシーによって管理されるクッキーのセキュリティにも及びます。クッキーは、セッションを管理し、ログイントークンを保存するために使用されることが多く、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、妥協されたサブドメインにユーザーを誘導することで **セッションクッキーを収集** し、ユーザーデータとプライバシーを危険にさらすことができます。

### **メールとサブドメイン乗っ取り**

サブドメイン乗っ取りのもう一つの側面は、メールサービスに関わります。攻撃者は **MX レコード** を操作して、正当なサブドメインからメールを受信または送信し、フィッシング攻撃の効果を高めることができます。

### **高次のリスク**

さらなるリスクには **NS レコードの乗っ取り** が含まれます。攻撃者がドメインの NS レコードの一つを制御すると、彼らはトラフィックの一部を自分の制御下にあるサーバーに向けることができます。このリスクは、攻撃者が DNS レコードの高い **TTL（生存時間）** を設定することで増幅され、攻撃の持続時間が延長されます。

### CNAME レコードの脆弱性

攻撃者は、もはや使用されていないか、廃止された外部サービスを指す未請求の CNAME レコードを悪用する可能性があります。これにより、信頼されたドメインの下にページを作成し、フィッシングやマルウェアの配布をさらに促進することができます。

### **緩和戦略**

緩和戦略には以下が含まれます：

1. **脆弱な DNS レコードの削除** - サブドメインがもはや必要ない場合に効果的です。
2. **ドメイン名の請求** - 該当するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入します。
3. **脆弱性の定期的な監視** - [aquatone](https://github.com/michenriksen/aquatone) のようなツールは、脆弱なドメインを特定するのに役立ちます。組織はまた、DNS レコードの作成がリソース作成の最終ステップであり、リソース破棄の最初のステップであることを確認するために、インフラ管理プロセスを見直すべきです。

クラウドプロバイダーにとって、ドメイン所有権の確認はサブドメイン乗っ取りを防ぐために重要です。 [GitLab](https://about.gitlab.com/2018/02/05/gitlab-pages-custom-domain-validation/) のように、この問題を認識し、ドメイン確認メカニズムを実装しているプロバイダーもあります。

## 参考文献

* [https://0xpatrik.com/subdomain-takeover/](https://0xpatrik.com/subdomain-takeover/)

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_term=trickest&utm_content=domain-subdomain-takeover) を使用して、世界で最も **高度な** コミュニティツールによって駆動される **ワークフローを簡単に構築し、自動化** します。\
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=domain-subdomain-takeover" %}

{% hint style="success" %}
AWS ハッキングを学び、実践する：<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP ハッキングを学び、実践する：<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricks をサポートする</summary>

* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください！
* **💬 [**Discord グループ**](https://discord.gg/hRep4RUj7f) または [**Telegram グループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**をフォローしてください。**
* **ハッキングのトリックを共有するために、[**HackTricks**](https://github.com/carlospolop/hacktricks) と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) の GitHub リポジトリに PR を提出してください。**

</details>
{% endhint %}