hacktricks/pentesting-web/domain-subdomain-takeover.md

123 lines
11 KiB
Markdown
Raw Normal View History

2023-07-07 23:42:27 +00:00
# ドメイン/サブドメインの乗っ取り
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong></strong></summary>
2022-04-28 16:01:33 +00:00
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)をフォローする
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得:
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
2022-04-28 16:01:33 +00:00
## ドメインの乗っ取り
スコープ内で**サービスに使用されているドメインdomain.tld**を発見した場合、**企業**がそれを**所有**していない可能性があります。安価であれば、それを**登録**して企業に通知できます。このドメインが**セッションクッキーなどの**機密情報を受信している場合(**GET**パラメーターまたは**Referer**ヘッダー経由)、これは間違いなく**脆弱性**です。
### サブドメインの乗っ取り
企業のサブドメインが**登録されていない名前のサードパーティサービス**を指している場合、この**サードパーティサービス**で**アカウントを作成**し、使用中の**名前**を**登録**できる場合、サブドメインの乗っ取りを行うことができます。
可能な乗っ取りをチェックするための辞書を持ついくつかのツールがあります:
- [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)
- [https://github.com/blacklanternsecurity/bbot](https://github.com/blacklanternsecurity/bbot)
- [https://github.com/punk-security/dnsReaper](https://github.com/punk-security/dnsReaper)
- [https://github.com/haccer/subjack](https://github.com/haccer/subjack)
- [https://github.com/anshumanbh/tko-sub](https://github.com/anshumanbh/tko-subs)
- [https://github.com/ArifulProtik/sub-domain-takeover](https://github.com/ArifulProtik/sub-domain-takeover)
- [https://github.com/SaadAhmedx/Subdomain-Takeover](https://github.com/SaadAhmedx/Subdomain-Takeover)
- [https://github.com/Ice3man543/SubOver](https://github.com/Ice3man543/SubOver)
- [https://github.com/m4ll0k/takeover](https://github.com/m4ll0k/takeover)
- [https://github.com/antichown/subdomain-takeover](https://github.com/antichown/subdomain-takeover)
- [https://github.com/musana/mx-takeover](https://github.com/musana/mx-takeover)
- [https://github.com/PentestPad/subzy](https://github.com/PentestPad/subzy)
[BBOT](https://github.com/blacklanternsecurity/bbot)を使用してハイジャック可能なサブドメインをスキャンする:
```bash
bbot -t evilcorp.com -f subdomain-enum
```
### DNSワイルドカードを使用したサブドメイン乗っ取り
2023-01-02 14:30:12 +00:00
ドメインでDNSワイルドカードが使用されると、そのドメインのリクエストされたサブドメインのうち、明示的に異なるアドレスが指定されていないものは、**同じ情報に解決されます**。これはA IPアドレス、CNAMEなどである可能性があります。
2023-01-02 14:30:12 +00:00
例えば、`*.testing.com`が`1.1.1.1`にワイルドカード指定されている場合、`not-existent.testing.com`は`1.1.1.1`を指すことになります。
2023-01-02 14:30:12 +00:00
ただし、IPアドレスを指定する代わりに、システム管理者が**CNAME経由でサードパーティーサービス**(たとえば**githubサブドメイン**にポイントした場合、攻撃者は自分のサードパーティーページこの場合はGihubを作成し、`something.testing.com`がそこを指すと主張することができます。**CNAMEワイルドカード**が攻撃者に同意するため、攻撃者は被害者のドメインのために**自分のページを指す任意のサブドメインを生成**することができます。
2023-01-02 14:30:12 +00:00
この脆弱性の例は、CTFの解説で見つけることができます[https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api](https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api)
2023-07-07 23:42:27 +00:00
## サブドメイン乗っ取りの悪用
2023-01-02 14:30:12 +00:00
サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの**透明性**により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のために[_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting)や[_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger)を利用することがあります。特に、フィッシングメールのURLが正当であるように見え、ドメインの信頼性によりユーザーを欺いてスパムフィルターを回避する場合、ドメインは脆弱です。
詳細については、[この投稿を参照してください](https://0xpatrik.com/subdomain-takeover/)
### **SSL証明書**
攻撃者が[_Let's Encrypt_](https://letsencrypt.org/)などのサービスを介して生成したSSL証明書は、これらの偽のドメインの信憑性を高め、フィッシング攻撃をより説得力のあるものにします。
### **Cookieセキュリティとブラウザの透明性**
ブラウザの透明性は、[Same-origin policy](https://en.wikipedia.org/wiki/Same-origin\_policy)などのポリシーによって管理されるクッキーのセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、単にユーザーを侵害されたサブドメインに誘導することで、セッションクッキーを**収集**することができ、ユーザーデータとプライバシーを危険にさらすことになります。
### **メールとサブドメイン乗っ取り**
サブドメイン乗っ取りの別の側面には、メールサービスが関わります。攻撃者は**MXレコード**を操作して、正規のサブドメインからメールを受信または送信することができ、フィッシング攻撃の効果を高めることができます。
### **高次のリスク**
さらなるリスクには、**NSレコード乗っ取り**があります。攻撃者がドメインの1つのNSレコードを制御すると、一部のトラフィックを自分の管理下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL生存時間を高く設定すると、攻撃の期間が延長されるため、このリスクは増幅されます。
### CNAMEレコードの脆弱性
攻撃者は、使用されなくなった外部サービスを指す未使用のCNAMEレコードを悪用することがあります。これにより、信頼されたドメインの下にページを作成し、フィッシングやマルウェアの配布をさらに容易にすることができます。
### **緩和策**
緩和策には次のものがあります:
1. **脆弱なDNSレコードの削除** - サブドメインが不要になった場合に効果的です。
2. **ドメイン名の取得** - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することが含まれます。
3. **脆弱性の定期的な監視** - [aquatone](https://github.com/michenriksen/aquatone)などのツールを使用して、脆弱なドメインを特定することができます。組織はまた、DNSレコードの作成がリソース作成の最終段階であり、リソースの破棄の最初の段階であることを確認するために、インフラ管理プロセスを見直す必要があります。
クラウドプロバイダーにとって、ドメインの所有権を確認することはサブドメイン乗っ取りを防ぐために重要です。[GitLab](https://about.gitlab.com/2018/02/05/gitlab-pages-custom-domain-validation/)など、一部のプロバイダーはこの問題を認識し、ドメイン検証メカニズムを実装しています。
## 参考文献
* [https://0xpatrik.com/subdomain-takeover/](https://0xpatrik.com/subdomain-takeover/)
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**できます。\
今すぐアクセスしてください:
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!</summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのスウォッグ**](https://peass.creator-spring.com)を入手してください
* 独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください。
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出することで、あなたのハッキングトリックを共有してください。
2022-04-28 16:01:33 +00:00
</details>