Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-12-02 09:29:59 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/domain-subdomain-takeover.md

10 KiB
Raw Blame History

Przejęcie domeny/poddomeny

Zacznij od zera i stań się ekspertem AWS z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:


Użyj Trickest, aby łatwo tworzyć i automatyzować przepływy pracy z wykorzystaniem najbardziej zaawansowanych narzędzi społeczności.
Zdobądź dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Przejęcie domeny

Jeśli odkryjesz, że pewna domena (domena.tld) jest używana przez jakiś serwis w zakresie, ale firma straciła nad nią własność, możesz spróbować ją zarejestrować (jeśli jest wystarczająco tania) i poinformować firmę. Jeśli ta domena otrzymuje jakieś wrażliwe informacje, takie jak ciasteczko sesji za pomocą parametru GET lub w nagłówku Referer, jest to z pewnością podatność.

Przejęcie poddomeny

Poddomena firmy wskazuje na usługę zewnętrzną o niezarejestrowanej nazwie. Jeśli możesz utworzyć konto w tej usłudze zewnętrznej i zarejestrować nazwę, która jest w użyciu, możesz dokonać przejęcia poddomeny.

Istnieje kilka narzędzi z słownikami do sprawdzania możliwych przejęć:

Skanowanie podatnych poddomen za pomocą BBOT:

Sprawdzenia przejęcia poddomeny są zawarte w domyślnym wyliczaniu poddomen BBOT. Sygnatury są pobierane bezpośrednio z https://github.com/EdOverflow/can-i-take-over-xyz.

bbot -t evilcorp.com -f subdomain-enum

Generowanie przejęcia subdomeny poprzez dziki DNS

Kiedy używany jest dziki DNS w domenie, każda żądana subdomena tej domeny, która nie ma jawnie przypisanej innej adresacji, będzie rozwiązana do tych samych informacji. Może to być adres IP A, CNAME...

Na przykład, jeśli *.testing.com jest dzikowany do 1.1.1.1. Wtedy not-existent.testing.com będzie wskazywać na 1.1.1.1.

Jednakże, jeśli zamiast wskazywać na adres IP, administrator systemu wskazuje to usługę osób trzecich poprzez CNAME, jak na przykład subdomenę githuba (sohomdatta1.github.io). Atakujący mógłby utworzyć swoją własną stronę osób trzecich (w tym przypadku na Githubie) i stwierdzić, że something.testing.com wskazuje tam. Ponieważ dziki CNAME zgodzi się, atakujący będzie mógł generować dowolne subdomeny dla domeny ofiary wskazujące na swoje strony.

Przykład tej podatności można znaleźć w opisie CTF: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Wykorzystanie przejęcia subdomeny

Przejęcie subdomeny to w zasadzie podszywanie się DNS dla konkretnej domeny w Internecie, pozwalające atakującym ustawić rekordy A dla domeny, co prowadzi do wyświetlania przez przeglądarki treści z serwera atakującego. Ta transparentność w przeglądarkach sprawia, że domeny są podatne na phishing. Atakujący mogą stosować typosquatting lub Doppelganger domains w tym celu. Szczególnie podatne są domeny, w których adres URL w wiadomości phishingowej wydaje się wiarygodny, wprowadzając w błąd użytkowników i unikając filtrów antyspamowych ze względu na inherentne zaufanie do domeny.

Sprawdź ten post dla dalszych szczegółów

Certyfikaty SSL

Certyfikaty SSL, jeśli generowane przez atakujących poprzez usługi takie jak Let's Encrypt, dodają wiarygodności tym fałszywym domenom, sprawiając, że ataki phishingowe są bardziej przekonujące.

Bezpieczeństwo plików cookie i transparentność przeglądarki

Transparentność przeglądarki dotyczy również bezpieczeństwa plików cookie, regulowanego przez zasady takie jak Polityka tego samego pochodzenia. Pliki cookie, często używane do zarządzania sesjami i przechowywania tokenów logowania, mogą być wykorzystane poprzez przejęcie subdomeny. Atakujący mogą zbierać pliki cookie sesji po prostu kierując użytkowników do skompromitowanej subdomeny, zagrażając danym użytkowników i prywatności.

Emaile i przejęcie subdomeny

Inny aspekt przejęcia subdomeny dotyczy usług e-mail. Atakujący mogą manipulować rekordami MX w celu odbierania lub wysyłania e-maili z wiarygodnej subdomeny, zwiększając skuteczność ataków phishingowych.

Wyższe ryzyka

Dodatkowe ryzyka obejmują przejęcie rekordów NS. Jeśli atakujący uzyska kontrolę nad jednym rekordem NS domeny, potencjalnie może skierować część ruchu na serwer pod swoją kontrolą. To ryzyko jest wzmacniane, jeśli atakujący ustawia wysoki TTL (czas życia) dla rekordów DNS, przedłużając czas trwania ataku.

Podatność rekordów CNAME

Atakujący mogą wykorzystać nieprzydzielone rekordy CNAME wskazujące na zewnętrzne usługi, które już nie są używane lub zostały wycofane. Pozwala to im utworzyć stronę pod zaufaną domeną, ułatwiając dalsze działania phishingowe lub dystrybucję złośliwego oprogramowania.

Strategie łagodzenia

Strategie łagodzenia obejmują:

  1. Usunięcie podatnych rekordów DNS - Jest to skuteczne, jeśli subdomena nie jest już wymagana.
  2. Zarejestrowanie nazwy domeny - Zarejestrowanie zasobu u dostawcy chmury lub ponowne zakupienie wygasłej domeny.
  3. Regularne monitorowanie pod kątem podatności - Narzędzia takie jak aquatone mogą pomóc zidentyfikować podatne domeny. Organizacje powinny również przejrzeć swoje procesy zarządzania infrastrukturą, zapewniając, że tworzenie rekordów DNS jest ostatnim krokiem w tworzeniu zasobu i pierwszym krokiem w jego usunięciu.

Dla dostawców chmury, weryfikacja własności domeny jest kluczowa w zapobieganiu przejęciom subdomen. Niektóre z nich, jak GitLab, zdały sobie sprawę z tego problemu i wdrożyły mechanizmy weryfikacji domeny.

Referencje


Użyj Trickest, aby łatwo tworzyć i automatyzować workflowy zasilane przez najbardziej zaawansowane narzędzia społeczności na świecie.
Zdobądź dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Zacznij od zera i zostań ekspertem w hakowaniu AWS z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks: