Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-18 06:58:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/domain-subdomain-takeover.md

9.8 KiB
Raw Blame History

Domein/Subdomein oorneem

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:


Gebruik Trickest om maklik te bou en outomatiseer werksvloei aangedryf deur die wêreld se mees gevorderde gemeenskapshulpmiddels.
Kry Vandaag Toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Domein oorneem

As jy 'n domein (domein.tld) ontdek wat deur 'n diens binne die omvang gebruik word maar die maatskappy het die eienaarskap daarvan verloor, kan jy probeer om dit te registreer (as dit goedkoop genoeg is) en die maatskappy in kennis stel. As hierdie domein sekere sensitiewe inligting ontvang soos 'n sessie koekie via 'n GET parameter of in die Verwysings-kop, is dit beslis 'n kwesbaarheid.

Subdomein oorneem

'n Subdomein van die maatskappy wys na 'n derdepartydiens met 'n nie-geregistreerde naam. As jy 'n rekening kan skep in hierdie derdepartydiens en die naam wat gebruik word registreer, kan jy die subdomein oorneem.

Daar is verskeie gereedskappe met woordeboeke om vir moontlike oornames te soek:

Skandering vir Oorvatbare Subdomeine met BBOT:

Subdomein oorneem kontroles is ingesluit in BBOT se standaard subdomein opname. Handtekeninge word direk gehaal vanaf https://github.com/EdOverflow/can-i-take-over-xyz.

bbot -t evilcorp.com -f subdomain-enum

Subdomein Oorname Generasie via DNS Wildcard

Wanneer 'n DNS wildcard in 'n domein gebruik word, sal enige aangevraagde subdomein van daardie domein wat nie eksplisiet na 'n ander adres verwys nie, opgelos word na dieselfde inligting. Dit kan 'n A ip-adres wees, 'n CNAME...

Byvoorbeeld, as *.testing.com wilcarded is na 1.1.1.1. Dan sal not-existent.testing.com na 1.1.1.1 verwys.

Maar, as die sysadmin dit in plaas van na 'n IP-adres na 'n derde party-diens via CNAME verwys, soos 'n github subdomein byvoorbeeld (sohomdatta1.github.io). 'n Aanvaller kan sy eie derde party-bladsy (in Gihub in hierdie geval) skep en sê dat something.testing.com daarheen verwys. Omdat die CNAME wildcard saamstem, sal die aanvaller in staat wees om willekeurige subdomeine vir die domein van die slagoffer te genereer wat na sy bladsye verwys.

Jy kan 'n voorbeeld van hierdie kwesbaarheid in die CTF-verslag vind: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Uitbuiting van 'n subdomein-oornaam

Subdomein-oornaam is in wese DNS-spoofing vir 'n spesifieke domein regoor die internet, wat aanvallers in staat stel om A-rekords vir 'n domein in te stel, wat daartoe lei dat webblaaie inhoud van die aanvaller se bediener vertoon. Hierdie deursigtigheid in webblaaie maak domeine vatbaar vir hengel. Aanvallers kan typosquatting of Doppelganger-domeine vir hierdie doel gebruik. Veral vatbaar is domeine waar die URL in 'n hengel-e-pos legitiem lyk, wat gebruikers mislei en spamfilters ontduik as gevolg van die inherente vertroue in die domein.

Kyk na hierdie berig vir verdere besonderhede

SSL-sertifikate

SSL-sertifikate, indien deur aanvallers gegenereer via dienste soos Let's Encrypt, dra by tot die geloofwaardigheid van hierdie valse domeine, wat hengelaanvalle oortuigender maak.

Koekie-sekuriteit en webblaaideursigtigheid

Webblaaideursigtigheid strek ook tot koekie-sekuriteit, wat beheer word deur beleide soos die Sekere-oorsprong-beleid. Koekies, dikwels gebruik om sessies te bestuur en aanmeldingstokens te stoor, kan deur subdomein-oornaam uitgebuit word. Aanvallers kan sessiekoekies versamel deur eenvoudig gebruikers na 'n gekompromitteerde subdomein te rig, wat gebruikersdata en privaatheid in gevaar bring.

E-posse en subdomein-oornaam

'n Ander aspek van subdomein-oornaam behels e-posdienste. Aanvallers kan MX-rekords manipuleer om e-pos vanaf 'n legitieme subdomein te ontvang of te stuur, wat die doeltreffendheid van hengelaanvalle verhoog.

Hoër Orde-risiko's

Verdere risiko's sluit NS-rekord-oornaam in. As 'n aanvaller beheer oor een NS-rekord van 'n domein verkry, kan hulle moontlik 'n gedeelte van die verkeer na 'n bediener onder hul beheer rig. Hierdie risiko word versterk as die aanvaller 'n hoë TTL (Tyd om te Lewe) vir DNS-rekords instel, wat die duur van die aanval verleng.

CNAME-rekord-kwesbaarheid

Aanvallers kan ongebruikte CNAME-rekords wat na eksterne dienste verwys wat nie meer gebruik word nie of buite werking gestel is, uitbuit. Dit stel hulle in staat om 'n bladsy onder die vertroude domein te skep, wat hengel of malware-verspreiding verder fasiliteer.

Versagtingsstrategieë

Versagtingsstrategieë sluit in:

  1. Verwydering van kwesbare DNS-rekords - Dit is doeltreffend as die subdomein nie meer benodig word nie.
  2. Eis die domeinnaam op - Registreer die hulpbron by die betrokke wolkverskaffer of koop 'n vervalde domein terug.
  3. Gereelde monitering vir kwesbaarhede - Gereedskap soos aquatone kan help om vatbare domeine te identifiseer. Organisasies moet ook hul infrastruktuurbestuursprosesse hersien, om te verseker dat DNS-rekord-skepping die laaste stap in hulpbron-skepping is en die eerste stap in hulpbron-vernietiging.

Vir wolkverskaffers is die verifikasie van domeineienaarskap krities om subdomein-oornames te voorkom. Sommige, soos GitLab, het hierdie probleem herken en domeinverifikasiemeganismes geïmplementeer.

Verwysings


Gebruik Trickest om maklik werkstrome te bou en te outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente.
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: