hacktricks/pentesting-web/domain-subdomain-takeover.md

# Przejęcie domeny/poddomeny

<details>

<summary><strong>Zacznij od zera i stań się ekspertem AWS z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) na GitHubie.

</details>

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

\
Użyj [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), aby łatwo tworzyć i **automatyzować przepływy pracy** z wykorzystaniem najbardziej zaawansowanych narzędzi społeczności.\
Zdobądź dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## Przejęcie domeny

Jeśli odkryjesz, że pewna domena (domena.tld) jest **używana przez jakiś serwis w zakresie**, ale **firma** straciła nad nią **własność**, możesz spróbować ją **zarejestrować** (jeśli jest wystarczająco tania) i poinformować firmę. Jeśli ta domena otrzymuje jakieś **wrażliwe informacje**, takie jak ciasteczko sesji za pomocą parametru **GET** lub w nagłówku **Referer**, jest to z pewnością **podatność**.

### Przejęcie poddomeny

Poddomena firmy wskazuje na **usługę zewnętrzną o niezarejestrowanej nazwie**. Jeśli możesz **utworzyć** konto w tej **usłudze zewnętrznej** i **zarejestrować** nazwę, która jest w użyciu, możesz dokonać przejęcia poddomeny.

Istnieje kilka narzędzi z słownikami do sprawdzania możliwych przejęć:

* [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)
* [https://github.com/blacklanternsecurity/bbot](https://github.com/blacklanternsecurity/bbot)
* [https://github.com/punk-security/dnsReaper](https://github.com/punk-security/dnsReaper)
* [https://github.com/haccer/subjack](https://github.com/haccer/subjack)
* [https://github.com/anshumanbh/tko-sub](https://github.com/anshumanbh/tko-subs)
* [https://github.com/ArifulProtik/sub-domain-takeover](https://github.com/ArifulProtik/sub-domain-takeover)
* [https://github.com/SaadAhmedx/Subdomain-Takeover](https://github.com/SaadAhmedx/Subdomain-Takeover)
* [https://github.com/Ice3man543/SubOver](https://github.com/Ice3man543/SubOver)
* [https://github.com/m4ll0k/takeover](https://github.com/m4ll0k/takeover)
* [https://github.com/antichown/subdomain-takeover](https://github.com/antichown/subdomain-takeover)
* [https://github.com/musana/mx-takeover](https://github.com/musana/mx-takeover)
* [https://github.com/PentestPad/subzy](https://github.com/PentestPad/subzy)

#### Skanowanie podatnych poddomen za pomocą [BBOT](https://github.com/blacklanternsecurity/bbot):

Sprawdzenia przejęcia poddomeny są zawarte w domyślnym wyliczaniu poddomen BBOT. Sygnatury są pobierane bezpośrednio z [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz).
```bash
bbot -t evilcorp.com -f subdomain-enum
```
### Generowanie przejęcia subdomeny poprzez dziki DNS

Kiedy używany jest dziki DNS w domenie, każda żądana subdomena tej domeny, która nie ma jawnie przypisanej innej adresacji, **będzie rozwiązana do tych samych informacji**. Może to być adres IP A, CNAME...

Na przykład, jeśli `*.testing.com` jest dzikowany do `1.1.1.1`. Wtedy `not-existent.testing.com` będzie wskazywać na `1.1.1.1`.

Jednakże, jeśli zamiast wskazywać na adres IP, administrator systemu wskazuje to **usługę osób trzecich poprzez CNAME**, jak na przykład **subdomenę githuba** (`sohomdatta1.github.io`). Atakujący mógłby **utworzyć swoją własną stronę osób trzecich** (w tym przypadku na Githubie) i stwierdzić, że `something.testing.com` wskazuje tam. Ponieważ **dziki CNAME** zgodzi się, atakujący będzie mógł **generować dowolne subdomeny dla domeny ofiary wskazujące na swoje strony**.

Przykład tej podatności można znaleźć w opisie CTF: [https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api](https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api)

## Wykorzystanie przejęcia subdomeny

Przejęcie subdomeny to w zasadzie podszywanie się DNS dla konkretnej domeny w Internecie, pozwalające atakującym ustawić rekordy A dla domeny, co prowadzi do wyświetlania przez przeglądarki treści z serwera atakującego. Ta **transparentność** w przeglądarkach sprawia, że domeny są podatne na phishing. Atakujący mogą stosować [_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting) lub [_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger) w tym celu. Szczególnie podatne są domeny, w których adres URL w wiadomości phishingowej wydaje się wiarygodny, wprowadzając w błąd użytkowników i unikając filtrów antyspamowych ze względu na inherentne zaufanie do domeny.

Sprawdź ten [post dla dalszych szczegółów](https://0xpatrik.com/subdomain-takeover/)

### **Certyfikaty SSL**

Certyfikaty SSL, jeśli generowane przez atakujących poprzez usługi takie jak [_Let's Encrypt_](https://letsencrypt.org/), dodają wiarygodności tym fałszywym domenom, sprawiając, że ataki phishingowe są bardziej przekonujące.

### **Bezpieczeństwo plików cookie i transparentność przeglądarki**

Transparentność przeglądarki dotyczy również bezpieczeństwa plików cookie, regulowanego przez zasady takie jak [Polityka tego samego pochodzenia](https://en.wikipedia.org/wiki/Same-origin\_policy). Pliki cookie, często używane do zarządzania sesjami i przechowywania tokenów logowania, mogą być wykorzystane poprzez przejęcie subdomeny. Atakujący mogą **zbierać pliki cookie sesji** po prostu kierując użytkowników do skompromitowanej subdomeny, zagrażając danym użytkowników i prywatności.

### **Emaile i przejęcie subdomeny**

Inny aspekt przejęcia subdomeny dotyczy usług e-mail. Atakujący mogą manipulować **rekordami MX** w celu odbierania lub wysyłania e-maili z wiarygodnej subdomeny, zwiększając skuteczność ataków phishingowych.

### **Wyższe ryzyka**

Dodatkowe ryzyka obejmują **przejęcie rekordów NS**. Jeśli atakujący uzyska kontrolę nad jednym rekordem NS domeny, potencjalnie może skierować część ruchu na serwer pod swoją kontrolą. To ryzyko jest wzmacniane, jeśli atakujący ustawia wysoki **TTL (czas życia)** dla rekordów DNS, przedłużając czas trwania ataku.

### Podatność rekordów CNAME

Atakujący mogą wykorzystać nieprzydzielone rekordy CNAME wskazujące na zewnętrzne usługi, które już nie są używane lub zostały wycofane. Pozwala to im utworzyć stronę pod zaufaną domeną, ułatwiając dalsze działania phishingowe lub dystrybucję złośliwego oprogramowania.

### **Strategie łagodzenia**

Strategie łagodzenia obejmują:

1. **Usunięcie podatnych rekordów DNS** - Jest to skuteczne, jeśli subdomena nie jest już wymagana.
2. **Zarejestrowanie nazwy domeny** - Zarejestrowanie zasobu u dostawcy chmury lub ponowne zakupienie wygasłej domeny.
3. **Regularne monitorowanie pod kątem podatności** - Narzędzia takie jak [aquatone](https://github.com/michenriksen/aquatone) mogą pomóc zidentyfikować podatne domeny. Organizacje powinny również przejrzeć swoje procesy zarządzania infrastrukturą, zapewniając, że tworzenie rekordów DNS jest ostatnim krokiem w tworzeniu zasobu i pierwszym krokiem w jego usunięciu.

Dla dostawców chmury, weryfikacja własności domeny jest kluczowa w zapobieganiu przejęciom subdomen. Niektóre z nich, jak [GitLab](https://about.gitlab.com/2018/02/05/gitlab-pages-custom-domain-validation/), zdały sobie sprawę z tego problemu i wdrożyły mechanizmy weryfikacji domeny.

## Referencje

* [https://0xpatrik.com/subdomain-takeover/](https://0xpatrik.com/subdomain-takeover/)

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

\
Użyj [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), aby łatwo tworzyć i **automatyzować workflowy** zasilane przez najbardziej zaawansowane narzędzia społeczności na świecie.\
Zdobądź dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>Zacznij od zera i zostań ekspertem w hakowaniu AWS z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>