hacktricks/pentesting-web/domain-subdomain-takeover.md

11 KiB
Raw Blame History

ドメイン/サブドメインの乗っ取り

htARTEHackTricks AWS Red Team Expert でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

ドメイン乗っ取り

スコープ内でサービスに使用されているドメインdomain.tldを発見した場合、企業所有権を失っている可能性があります。このドメインを(安価であれば)登録して企業に通知できます。このドメインがGETパラメータやRefererヘッダー経由でセッションクッキーなどの機密情報を受信している場合、これは間違いなく脆弱性です。

サブドメイン乗っ取り

企業のサブドメインが登録されていない名前のサードパーティサービスを指している場合、このサードパーティサービスアカウントを作成し、使用中の名前登録できれば、サブドメインの乗っ取りを行うことができます。

可能な乗っ取りをチェックするための辞書を持ついくつかのツールがあります:

BBOTを使用してハイジャック可能なサブドメインをスキャンする:

bbot -t evilcorp.com -f subdomain-enum

DNSワイルドカードを使用したサブドメイン乗っ取り

ドメインでDNSワイルドカードが使用されると、そのドメインのリクエストされたサブドメインのうち、明示的に異なるアドレスが指定されていないものは、同じ情報に解決されます。これはA IPアドレス、CNAMEなどである可能性があります。

例えば、*.testing.com1.1.1.1にワイルドカード指定されている場合、not-existent.testing.com1.1.1.1を指すことになります。

しかし、IPアドレスではなく、サードパーティーサービスをCNAME経由で指定する場合、たとえばgithubのサブドメインsohomdatta1.github.ioなどに指定する場合、攻撃者は自分自身のサードパーティーページこの場合はGithubを作成し、something.testing.comがそこを指すと主張することができます。CNAMEワイルドカードが攻撃者に同意するため、攻撃者は被害者のドメインのために自分のページを指す任意のサブドメインを生成することができます。

この脆弱性の例は、CTFの解説で見つけることができますhttps://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

サブドメイン乗っ取りの悪用

サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの透明性により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のためにtyposquattingDoppelganger domainsを利用することがあります。特に、フィッシングメールのURLが正当であるように見え、ドメインの信頼性によりユーザーを欺いてスパムフィルターを回避する可能性が高いドメインが脆弱です。

詳細については、この投稿を参照してください

SSL証明書

攻撃者がLet's Encryptなどのサービスを介して生成したSSL証明書は、これらの偽のドメインの信憑性を高め、フィッシング攻撃をより説得力のあるものにします。

Cookieセキュリティとブラウザの透明性

ブラウザの透明性は、同一生成元ポリシーなどのポリシーによって管理されるクッキーのセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、危険にさらされたサブドメインにユーザーを誘導することで、セッションクッキーを収集することができ、ユーザーデータやプライバシーを危険にさらすことがあります。

メールとサブドメイン乗っ取り

サブドメイン乗っ取りの別の側面には、メールサービスが含まれます。攻撃者は、合法的なサブドメインからメールを受信または送信するためにMXレコードを操作することができ、フィッシング攻撃の効果を高めることができます。

高次のリスク

さらなるリスクには、NSレコード乗っ取りがあります。攻撃者がドメインの1つのNSレコードを制御すると、トラフィックの一部を自分の管理下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL生存時間を高く設定すると、攻撃の期間が延長され、このリスクが増大します。

CNAMEレコードの脆弱性

攻撃者は、使用されなくなった外部サービスを指す未使用のCNAMEレコードを悪用するかもしれません。これにより、信頼されたドメインの下にページを作成し、フィッシングやマルウェアの配布をさらに容易にすることができます。

緩和策

緩和策には以下が含まれます:

  1. 脆弱なDNSレコードの削除 - サブドメインが不要になった場合に効果的です。
  2. ドメイン名の取得 - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することが有効です。
  3. 脆弱性の定期的な監視 - aquatoneなどのツールを使用して脆弱なドメインを特定することができます。組織はまた、DNSレコードの作成がリソース作成の最終段階であり、リソース破棄の最初の段階であることを確認するために、インフラ管理プロセスを見直す必要があります。

クラウドプロバイダーにとって、ドメイン所有権の検証はサブドメイン乗っ取りを防ぐために重要です。GitLabなど、一部のプロバイダーはこの問題を認識し、ドメイン検証メカニズムを実装しています。

参考文献


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化できます。
今すぐアクセスしてください:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!

HackTricksをサポートする他の方法