Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 05:33:33 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/domain-subdomain-takeover.md

10 KiB
Raw Blame History

Przejęcie domeny/poddomeny

Zacznij od zera i stań się ekspertem AWS z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:


Użyj Trickest, aby łatwo tworzyć i automatyzować przepływy pracy z wykorzystaniem najbardziej zaawansowanych narzędzi społeczności.
Otrzymaj dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Przejęcie domeny

Jeśli odkryjesz, że pewna domena (domena.tld) jest używana przez jakąś usługę w zakresie, ale firma straciła nad nią własność, możesz spróbować ją zarejestrować (jeśli jest wystarczająco tania) i poinformować o tym firmę. Jeśli ta domena otrzymuje jakieś wrażliwe informacje, takie jak ciasteczko sesji za pomocą parametru GET lub w nagłówku Referer, jest to z pewnością podatność.

Przejęcie poddomeny

Poddomena firmy wskazuje na usługę osób trzecich o niezarejestrowanej nazwie. Jeśli możesz utworzyć konto w tej usłudze osób trzecich i zarejestrować nazwę, która jest w użyciu, możesz dokonać przejęcia poddomeny.

Istnieje kilka narzędzi z słownikami do sprawdzania możliwych przejęć:

Skanowanie podatnych na przejęcie poddomen za pomocą BBOT:

Sprawdzenia podatności na przejęcie poddomeny są uwzględnione w domyślnym wyliczaniu poddomen BBOT. Sygnatury są pobierane bezpośrednio z https://github.com/EdOverflow/can-i-take-over-xyz.

bbot -t evilcorp.com -f subdomain-enum

Generowanie przejęcia subdomeny poprzez dziką kartę DNS

Kiedy używana jest dzika karta DNS w domenie, każda żądana subdomena tej domeny, która nie ma wyraźnie innego adresu, będzie rozwiązana do tych samych informacji. Może to być adres IP A, CNAME...

Na przykład, jeśli *.testing.com jest ustawiona jako dzika karta na 1.1.1.1. Wtedy not-existent.testing.com będzie wskazywać na 1.1.1.1.

Jednakże, jeśli zamiast wskazywać na adres IP, administrator systemu wskazuje to na usługę osób trzecich poprzez CNAME, jak na przykład subdomenę githuba (sohomdatta1.github.io). Atakujący mógłby utworzyć swoją własną stronę osób trzecich (w tym przypadku w Gihubie) i powiedzieć, że something.testing.com wskazuje tam. Ponieważ dzika karta CNAME zgodzi się, atakujący będzie mógł generować dowolne subdomeny dla domeny ofiary wskazujące na swoje strony.

Przykład tej podatności można znaleźć w opisie CTF: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Wykorzystanie przejęcia subdomeny

Przejęcie subdomeny to w zasadzie podszywanie się DNS dla konkretnej domeny w Internecie, pozwalające atakującym ustawić rekordy A dla domeny, co prowadzi do wyświetlania treści z serwera atakującego w przeglądarkach. Ta transparentność w przeglądarkach sprawia, że domeny są podatne na phishing. Atakujący mogą stosować typosquatting lub Doppelganger domains w tym celu. Szczególnie podatne są domeny, w których adres URL w wiadomości phishingowej wydaje się wiarygodny, wprowadzając w błąd użytkowników i unikając filtrów antyspamowych ze względu na inherentne zaufanie do domeny.

Sprawdź ten post dla dalszych szczegółów

Certyfikaty SSL

Certyfikaty SSL, jeśli generowane przez atakujących poprzez usługi takie jak Let's Encrypt, dodają wiarygodności tym fałszywym domenom, sprawiając, że ataki phishingowe są bardziej przekonujące.

Bezpieczeństwo plików cookie i transparentność przeglądarki

Transparentność przeglądarki dotyczy również bezpieczeństwa plików cookie, regulowanego przez zasady takie jak Polityka tego samego pochodzenia. Pliki cookie, często używane do zarządzania sesjami i przechowywania tokenów logowania, mogą być wykorzystane poprzez przejęcie subdomeny. Atakujący mogą zbierać pliki cookie sesji po prostu kierując użytkowników do skompromitowanej subdomeny, zagrażając danym użytkownika i prywatności.

E-maile i przejęcie subdomeny

Inny aspekt przejęcia subdomeny dotyczy usług e-mail. Atakujący mogą manipulować rekordami MX w celu odbierania lub wysyłania e-maili z wiarygodnej subdomeny, zwiększając skuteczność ataków phishingowych.

Wyższe ryzyka

Dodatkowe ryzyka obejmują przejęcie rekordów NS. Jeśli atakujący uzyska kontrolę nad jednym rekordem NS domeny, potencjalnie może skierować część ruchu na serwer pod swoją kontrolą. To ryzyko wzrasta, jeśli atakujący ustawia wysoki TTL (czas życia) dla rekordów DNS, przedłużając czas trwania ataku.

Podatność rekordów CNAME

Atakujący mogą wykorzystać niezarejestrowane rekordy CNAME wskazujące na usługi zewnętrzne, które nie są już używane lub zostały wycofane. Pozwala to im utworzyć stronę pod zaufaną domeną, ułatwiając dalsze działania phishingowe lub dystrybucję złośliwego oprogramowania.

Strategie łagodzenia

Strategie łagodzenia obejmują:

  1. Usunięcie podatnych rekordów DNS - Jest to skuteczne, jeśli subdomena nie jest już wymagana.
  2. Zarejestrowanie nazwy domeny - Rejestracja zasobu u dostawcy chmury lub ponowne zakupienie wygasłej domeny.
  3. Regularne monitorowanie pod kątem podatności - Narzędzia takie jak aquatone mogą pomóc zidentyfikować podatne domeny. Organizacje powinny również przejrzeć swoje procesy zarządzania infrastrukturą, zapewniając, że tworzenie rekordów DNS jest ostatnim krokiem w tworzeniu zasobu i pierwszym krokiem w jego usunięciu.

Dla dostawców chmury, weryfikacja własności domeny jest kluczowa dla zapobieżenia przejęciom subdomen. Niektórzy, jak GitLab, rozpoznali ten problem i wdrożyli mechanizmy weryfikacji domeny.

Referencje


Użyj Trickest, aby łatwo tworzyć i automatyzować workflowy zasilane przez najbardziej zaawansowane narzędzia społeczności na świecie.
Zdobądź dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks: