hacktricks/pentesting-web/domain-subdomain-takeover.md

# Przejęcie domeny/poddomeny

<details>

<summary><strong>Zacznij od zera i stań się ekspertem AWS z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną na HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegram**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

\
Użyj [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), aby łatwo tworzyć i **automatyzować przepływy pracy** z wykorzystaniem **najbardziej zaawansowanych** narzędzi społeczności.\
Otrzymaj dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

## Przejęcie domeny

Jeśli odkryjesz, że pewna domena (domena.tld) jest **używana przez jakąś usługę w zakresie**, ale **firma** straciła nad nią **własność**, możesz spróbować ją **zarejestrować** (jeśli jest wystarczająco tania) i poinformować o tym firmę. Jeśli ta domena otrzymuje jakieś **wrażliwe informacje**, takie jak ciasteczko sesji za pomocą parametru **GET** lub w nagłówku **Referer**, jest to z pewnością **podatność**.

### Przejęcie poddomeny

Poddomena firmy wskazuje na **usługę osób trzecich o niezarejestrowanej nazwie**. Jeśli możesz **utworzyć** konto w tej **usłudze osób trzecich** i **zarejestrować** nazwę, która jest w użyciu, możesz dokonać przejęcia poddomeny.

Istnieje kilka narzędzi z słownikami do sprawdzania możliwych przejęć:

* [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)
* [https://github.com/blacklanternsecurity/bbot](https://github.com/blacklanternsecurity/bbot)
* [https://github.com/punk-security/dnsReaper](https://github.com/punk-security/dnsReaper)
* [https://github.com/haccer/subjack](https://github.com/haccer/subjack)
* [https://github.com/anshumanbh/tko-sub](https://github.com/anshumanbh/tko-subs)
* [https://github.com/ArifulProtik/sub-domain-takeover](https://github.com/ArifulProtik/sub-domain-takeover)
* [https://github.com/SaadAhmedx/Subdomain-Takeover](https://github.com/SaadAhmedx/Subdomain-Takeover)
* [https://github.com/Ice3man543/SubOver](https://github.com/Ice3man543/SubOver)
* [https://github.com/m4ll0k/takeover](https://github.com/m4ll0k/takeover)
* [https://github.com/antichown/subdomain-takeover](https://github.com/antichown/subdomain-takeover)
* [https://github.com/musana/mx-takeover](https://github.com/musana/mx-takeover)
* [https://github.com/PentestPad/subzy](https://github.com/PentestPad/subzy)

#### Skanowanie podatnych na przejęcie poddomen za pomocą [BBOT](https://github.com/blacklanternsecurity/bbot):

Sprawdzenia podatności na przejęcie poddomeny są uwzględnione w domyślnym wyliczaniu poddomen BBOT. Sygnatury są pobierane bezpośrednio z [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz).
```bash
bbot -t evilcorp.com -f subdomain-enum
```
### Generowanie przejęcia subdomeny poprzez dziką kartę DNS

Kiedy używana jest dzika karta DNS w domenie, każda żądana subdomena tej domeny, która nie ma wyraźnie innego adresu, będzie **rozwiązana do tych samych informacji**. Może to być adres IP A, CNAME...

Na przykład, jeśli `*.testing.com` jest ustawiona jako dzika karta na `1.1.1.1`. Wtedy `not-existent.testing.com` będzie wskazywać na `1.1.1.1`.

Jednakże, jeśli zamiast wskazywać na adres IP, administrator systemu wskazuje to na **usługę osób trzecich poprzez CNAME**, jak na przykład **subdomenę githuba** (`sohomdatta1.github.io`). Atakujący mógłby **utworzyć swoją własną stronę osób trzecich** (w tym przypadku w Gihubie) i powiedzieć, że `something.testing.com` wskazuje tam. Ponieważ **dzika karta CNAME** zgodzi się, atakujący będzie mógł **generować dowolne subdomeny dla domeny ofiary wskazujące na swoje strony**.

Przykład tej podatności można znaleźć w opisie CTF: [https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api](https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api)

## Wykorzystanie przejęcia subdomeny

Przejęcie subdomeny to w zasadzie podszywanie się DNS dla konkretnej domeny w Internecie, pozwalające atakującym ustawić rekordy A dla domeny, co prowadzi do wyświetlania treści z serwera atakującego w przeglądarkach. Ta **transparentność** w przeglądarkach sprawia, że domeny są podatne na phishing. Atakujący mogą stosować [_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting) lub [_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger) w tym celu. Szczególnie podatne są domeny, w których adres URL w wiadomości phishingowej wydaje się wiarygodny, wprowadzając w błąd użytkowników i unikając filtrów antyspamowych ze względu na inherentne zaufanie do domeny.

Sprawdź ten [post dla dalszych szczegółów](https://0xpatrik.com/subdomain-takeover/)

### **Certyfikaty SSL**

Certyfikaty SSL, jeśli generowane przez atakujących poprzez usługi takie jak [_Let's Encrypt_](https://letsencrypt.org/), dodają wiarygodności tym fałszywym domenom, sprawiając, że ataki phishingowe są bardziej przekonujące.

### **Bezpieczeństwo plików cookie i transparentność przeglądarki**

Transparentność przeglądarki dotyczy również bezpieczeństwa plików cookie, regulowanego przez zasady takie jak [Polityka tego samego pochodzenia](https://pl.wikipedia.org/wiki/Polityka_tego_samego_pochodzenia). Pliki cookie, często używane do zarządzania sesjami i przechowywania tokenów logowania, mogą być wykorzystane poprzez przejęcie subdomeny. Atakujący mogą **zbierać pliki cookie sesji** po prostu kierując użytkowników do skompromitowanej subdomeny, zagrażając danym użytkownika i prywatności.

### **E-maile i przejęcie subdomeny**

Inny aspekt przejęcia subdomeny dotyczy usług e-mail. Atakujący mogą manipulować **rekordami MX** w celu odbierania lub wysyłania e-maili z wiarygodnej subdomeny, zwiększając skuteczność ataków phishingowych.

### **Wyższe ryzyka**

Dodatkowe ryzyka obejmują **przejęcie rekordów NS**. Jeśli atakujący uzyska kontrolę nad jednym rekordem NS domeny, potencjalnie może skierować część ruchu na serwer pod swoją kontrolą. To ryzyko wzrasta, jeśli atakujący ustawia wysoki **TTL (czas życia)** dla rekordów DNS, przedłużając czas trwania ataku.

### Podatność rekordów CNAME

Atakujący mogą wykorzystać niezarejestrowane rekordy CNAME wskazujące na usługi zewnętrzne, które nie są już używane lub zostały wycofane. Pozwala to im utworzyć stronę pod zaufaną domeną, ułatwiając dalsze działania phishingowe lub dystrybucję złośliwego oprogramowania.

### **Strategie łagodzenia**

Strategie łagodzenia obejmują:

1. **Usunięcie podatnych rekordów DNS** - Jest to skuteczne, jeśli subdomena nie jest już wymagana.
2. **Zarejestrowanie nazwy domeny** - Rejestracja zasobu u dostawcy chmury lub ponowne zakupienie wygasłej domeny.
3. **Regularne monitorowanie pod kątem podatności** - Narzędzia takie jak [aquatone](https://github.com/michenriksen/aquatone) mogą pomóc zidentyfikować podatne domeny. Organizacje powinny również przejrzeć swoje procesy zarządzania infrastrukturą, zapewniając, że tworzenie rekordów DNS jest ostatnim krokiem w tworzeniu zasobu i pierwszym krokiem w jego usunięciu.

Dla dostawców chmury, weryfikacja własności domeny jest kluczowa dla zapobieżenia przejęciom subdomen. Niektórzy, jak [GitLab](https://about.gitlab.com/2018/02/05/gitlab-pages-custom-domain-validation/), rozpoznali ten problem i wdrożyli mechanizmy weryfikacji domeny.

## Referencje

* [https://0xpatrik.com/subdomain-takeover/](https://0xpatrik.com/subdomain-takeover/)

<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

\
Użyj [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), aby łatwo tworzyć i **automatyzować workflowy** zasilane przez najbardziej zaawansowane narzędzia społeczności na świecie.\
Zdobądź dostęp już dziś:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>