hacktricks/pentesting-web/domain-subdomain-takeover.md

116 lines
12 KiB
Markdown
Raw Normal View History

2023-07-07 23:42:27 +00:00
# ドメイン/サブドメインの乗っ取り
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>htARTEHackTricks AWS Red Team Expert</strong>を使用して、<strong>AWSハッキングをゼロからヒーローまで学ぶ</strong></summary>
2022-04-28 16:01:33 +00:00
HackTricksをサポートする他の方法
- **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
- [**公式PEASSHackTricksスワッグ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter**で私をフォローする🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
- **ハッキングトリックを共有するには、** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
\
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによってパワードされた**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得:
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
2022-04-28 16:01:33 +00:00
2023-07-07 23:42:27 +00:00
## ドメインの乗っ取り
スコープ内で**サービスに使用されているドメインdomain.tld**を発見した場合、**企業**が**所有権を失っている**可能性があります。このドメインを(安価であれば)**登録**して企業に通知できます。このドメインが**セッションクッキーなどの**機密情報を受信している場合(**GET**パラメータや**Referer**ヘッダー経由)、これは間違いなく**脆弱性**です。
2023-07-07 23:42:27 +00:00
### サブドメインの乗っ取り
企業のサブドメインが**登録されていない名前のサードパーティサービス**を指している場合、この**サードパーティサービス**で**アカウントを作成**し、使用中の**名前**を**登録**できる場合、サブドメインの乗っ取りを実行できます。
可能な乗っ取りをチェックするための辞書を備えたいくつかのツールがあります:
- [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)
- [https://github.com/blacklanternsecurity/bbot](https://github.com/blacklanternsecurity/bbot)
- [https://github.com/punk-security/dnsReaper](https://github.com/punk-security/dnsReaper)
- [https://github.com/haccer/subjack](https://github.com/haccer/subjack)
- [https://github.com/anshumanbh/tko-sub](https://github.com/anshumanbh/tko-subs)
- [https://github.com/ArifulProtik/sub-domain-takeover](https://github.com/ArifulProtik/sub-domain-takeover)
- [https://github.com/SaadAhmedx/Subdomain-Takeover](https://github.com/SaadAhmedx/Subdomain-Takeover)
- [https://github.com/Ice3man543/SubOver](https://github.com/Ice3man543/SubOver)
- [https://github.com/m4ll0k/takeover](https://github.com/m4ll0k/takeover)
- [https://github.com/antichown/subdomain-takeover](https://github.com/antichown/subdomain-takeover)
- [https://github.com/musana/mx-takeover](https://github.com/musana/mx-takeover)
#### [BBOT](https://github.com/blacklanternsecurity/bbot)を使用してハイジャック可能なサブドメインをスキャンする:
BBOTのデフォルトのサブドメイン列挙には、サブドメインの乗っ取りチェックが含まれています。シグネチャは直接[https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)から取得されます。
```bash
bbot -t evilcorp.com -f subdomain-enum
```
### DNSワイルドカードを使用したサブドメイン乗っ取り
2023-01-02 14:30:12 +00:00
ドメインでDNSワイルドカードが使用されると、そのドメインのリクエストされたサブドメインのうち、明示的に異なるアドレスが指定されていないものは、**同じ情報に解決されます**。これはA IPアドレス、CNAMEなどである可能性があります。
2023-01-02 14:30:12 +00:00
例えば、`*.testing.com`が`1.1.1.1`にワイルドカード指定されている場合、`not-existent.testing.com`は`1.1.1.1`を指すことになります。
2023-01-02 14:30:12 +00:00
しかし、IPアドレスではなく、サードパーティーサービスをCNAME経由で指定する場合、たとえば**githubのサブドメイン**`sohomdatta1.github.io`などに指定する場合、攻撃者は自分のサードパーティーページこの場合はGithubを作成し、`something.testing.com`がそこを指すと主張することができます。**CNAMEワイルドカード**が攻撃者に同意するため、攻撃者は被害者のドメインのために**自分のページを指す任意のサブドメインを生成**することができます。
2023-01-02 14:30:12 +00:00
この脆弱性の例は、CTFの解説で見つけることができます[https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api](https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api)
2023-07-07 23:42:27 +00:00
## サブドメイン乗っ取りの悪用
2023-01-02 14:30:12 +00:00
サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの**透明性**により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のために[_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting)や[_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger)を利用することがあります。特に、フィッシングメールのURLが正当であるように見え、ドメインの信頼性によりユーザーを欺いてスパムフィルターを回避することができます。
詳細については、[この投稿を参照してください](https://0xpatrik.com/subdomain-takeover/)
### **SSL証明書**
攻撃者が[_Let's Encrypt_](https://letsencrypt.org/)などのサービスを通じて生成したSSL証明書は、これらの偽のドメインの信憑性を高め、フィッシング攻撃をより説得力のあるものにします。
### **Cookieセキュリティとブラウザの透明性**
ブラウザの透明性は、[同一生成元ポリシー](https://en.wikipedia.org/wiki/Same-origin_policy)などのポリシーによって管理されるクッキーのセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、単にユーザーを侵害されたサブドメインに誘導することで、セッションクッキーを収集することができ、ユーザーデータやプライバシーを危険にさらすことができます。
### **メールとサブドメイン乗っ取り**
サブドメイン乗っ取りの別の側面には、メールサービスが含まれます。攻撃者は、合法的なサブドメインからメールを受信または送信するために**MXレコード**を操作することができ、フィッシング攻撃の効果を高めることができます。
### **高次のリスク**
さらなるリスクには、**NSレコード乗っ取り**があります。攻撃者がドメインの1つのNSレコードを制御すると、トラフィックの一部を自分の管理下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL生存時間を高く設定すると、攻撃の期間が延長されるため、このリスクが増大します。
### CNAMEレコードの脆弱性
攻撃者は、使用されなくなった外部サービスを指す未使用のCNAMEレコードを悪用するかもしれません。これにより、信頼されたドメインの下にページを作成することができ、フィッシングやマルウェアの配布をさらに容易にします。
### **緩和策**
緩和策には以下が含まれます:
1. **脆弱なDNSレコードの削除** - サブドメインが不要になった場合に効果的です。
2. **ドメイン名の取得** - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することが含まれます。
3. **脆弱性の定期的な監視** - [aquatone](https://github.com/michenriksen/aquatone)などのツールを使用して、脆弱なドメインを特定することができます。組織はまた、DNSレコードの作成がリソース作成の最終段階であり、リソース破棄の最初の段階であることを確認するために、インフラ管理プロセスを見直す必要があります。
クラウドプロバイダーにとって、ドメインの所有権を確認することはサブドメイン乗っ取りを防ぐために重要です。[GitLab](https://about.gitlab.com/2018/02/05/gitlab-pages-custom-domain-validation/)など、一部のプロバイダーはこの問題を認識し、ドメイン検証メカニズムを実装しています。
# 参考文献
* [https://0xpatrik.com/subdomain-takeover/](https://0xpatrik.com/subdomain-takeover/)
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**できます。\
今すぐアクセスしてください:
2022-06-06 22:28:05 +00:00
2023-01-01 16:19:07 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><strong>**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!</strong></summary>
HackTricksをサポートする他の方法
* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksのグッズ**](https://peass.creator-spring.com)を入手してください
* 独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見してください
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**をフォロー**してください。
* **ハッキングトリックを共有**するために、[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。
2022-04-28 16:01:33 +00:00
</details>