hacktricks/pentesting-web/domain-subdomain-takeover.md

Domain/Subdomain Übernahme

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Verwenden Sie Trickest, um mühelos Workflows zu erstellen und zu automatisieren, die von den weltweit fortschrittlichsten Community-Tools unterstützt werden.
Heute Zugriff erhalten:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Domain-Übernahme

Wenn Sie eine Domain (domain.tld) entdecken, die von einem Dienst innerhalb des Geltungsbereichs verwendet wird, aber das Unternehmen die Eigentümerschaft verloren hat, können Sie versuchen, sie zu registrieren (wenn sie billig genug ist) und dem Unternehmen Bescheid geben. Wenn über diese Domain sensible Informationen wie ein Sitzungscookie über GET-Parameter oder im Referer-Header empfangen werden, handelt es sich definitiv um eine Schwachstelle.

Subdomain-Übernahme

Eine Subdomain des Unternehmens zeigt auf einen Drittanbieterdienst mit einem nicht registrierten Namen. Wenn Sie ein Konto in diesem Drittanbieterdienst erstellen und den verwendeten Namen registrieren können, können Sie die Subdomain-Übernahme durchführen.

Es gibt mehrere Tools mit Wörterbüchern, um mögliche Übernahmen zu überprüfen:

• https://github.com/EdOverflow/can-i-take-over-xyz
• https://github.com/blacklanternsecurity/bbot
• https://github.com/punk-security/dnsReaper
• https://github.com/haccer/subjack
• https://github.com/anshumanbh/tko-sub
• https://github.com/ArifulProtik/sub-domain-takeover
• https://github.com/SaadAhmedx/Subdomain-Takeover
• https://github.com/Ice3man543/SubOver
• https://github.com/m4ll0k/takeover
• https://github.com/antichown/subdomain-takeover
• https://github.com/musana/mx-takeover
• https://github.com/PentestPad/subzy

Scannen nach übernehmbaren Subdomains mit BBOT:

Subdomain-Übernahmeprüfungen sind in der Standard-Subdomain-Enumeration von BBOT enthalten. Signaturen werden direkt von https://github.com/EdOverflow/can-i-take-over-xyz abgerufen.

bbot -t evilcorp.com -f subdomain-enum

Subdomain Takeover Generation via DNS Wildcard

Wenn ein DNS-Wildcard in einer Domain verwendet wird, wird jeder angeforderte Subdomain dieser Domain, der nicht explizit eine andere Adresse hat, auf die gleichen Informationen aufgelöst. Dies könnte eine A-IP-Adresse, ein CNAME...

Zum Beispiel, wenn *.testing.com auf 1.1.1.1 wildgekartert ist. Dann wird not-existent.testing.com auf 1.1.1.1 zeigen.

Wenn jedoch anstelle einer IP-Adresse der Sysadmin es auf einen Drittanbieterdienst über CNAME zeigt, wie zum Beispiel eine Github-Subdomain (sohomdatta1.github.io). Ein Angreifer könnte seine eigene Drittanbieterseite (in diesem Fall auf Github) erstellen und behaupten, dass something.testing.com dorthin zeigt. Da das CNAME-Wildcard zustimmt, wird der Angreifer in der Lage sein, beliebige Subdomains für die Domain des Opfers zu generieren, die auf seine Seiten zeigen.

Ein Beispiel für diese Schwachstelle finden Sie im CTF-Bericht: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Ausnutzen eines Subdomain Takeovers

Ein Subdomain Takeover ist im Wesentlichen ein DNS-Spoofing für eine bestimmte Domain im Internet, das es Angreifern ermöglicht, A-Records für eine Domain festzulegen, was dazu führt, dass Browser Inhalte vom Server des Angreifers anzeigen. Diese Transparenz in Browsern macht Domains anfällig für Phishing. Angreifer können Typosquatting oder Doppelgänger-Domains für diesen Zweck nutzen. Besonders anfällig sind Domains, bei denen die URL in einer Phishing-E-Mail legitim erscheint, Benutzer täuscht und Spamfilter aufgrund des inhärenten Vertrauens der Domain umgeht.

Weitere Details finden Sie in diesem Beitrag

SSL-Zertifikate

SSL-Zertifikate, wenn sie von Angreifern über Dienste wie Let's Encrypt generiert werden, tragen zur Legitimität dieser gefälschten Domains bei und machen Phishing-Angriffe überzeugender.

Cookie-Sicherheit und Browser-Transparenz

Die Browser-Transparenz erstreckt sich auch auf die Cookie-Sicherheit, die durch Richtlinien wie die Same-origin policy geregelt wird. Cookies, die häufig zur Verwaltung von Sitzungen und zur Speicherung von Anmeldetoken verwendet werden, können durch Subdomain Takeover ausgenutzt werden. Angreifer können Sitzungscookies sammeln, indem sie Benutzer einfach auf eine kompromittierte Subdomain leiten und so Benutzerdaten und Privatsphäre gefährden.

E-Mails und Subdomain Takeover

Ein weiterer Aspekt des Subdomain Takeovers betrifft E-Mail-Dienste. Angreifer können MX-Records manipulieren, um E-Mails von einer legitimen Subdomain zu empfangen oder zu senden, was die Wirksamkeit von Phishing-Angriffen erhöht.

Risiken höherer Ordnung

Weitere Risiken umfassen die NS-Record-Übernahme. Wenn ein Angreifer die Kontrolle über einen NS-Record einer Domain erlangt, kann er potenziell einen Teil des Datenverkehrs auf einen Server unter seiner Kontrolle umleiten. Dieses Risiko wird verstärkt, wenn der Angreifer eine hohe TTL (Time to Live) für DNS-Einträge festlegt, wodurch die Dauer des Angriffs verlängert wird.

CNAME-Record-Schwachstelle

Angreifer könnten ungenutzte CNAME-Records ausnutzen, die auf externe Dienste verweisen, die nicht mehr verwendet werden oder außer Betrieb genommen wurden. Dies ermöglicht es ihnen, eine Seite unter der vertrauenswürdigen Domain zu erstellen, was Phishing oder die Verbreitung von Malware weiter erleichtert.

Strategien zur Risikominderung

Strategien zur Risikominderung umfassen:

1. Entfernen von anfälligen DNS-Einträgen - Dies ist wirksam, wenn die Subdomain nicht mehr benötigt wird.
2. Beanspruchung des Domainnamens - Registrierung der Ressource beim jeweiligen Cloud-Anbieter oder erneutes Kaufen einer abgelaufenen Domain.
3. Regelmäßige Überwachung auf Schwachstellen - Tools wie aquatone können anfällige Domains identifizieren. Organisationen sollten auch ihre Infrastrukturverwaltungsprozesse überprüfen, um sicherzustellen, dass die Erstellung von DNS-Einträgen der letzte Schritt bei der Ressourcenerstellung und der erste Schritt bei der Ressourcenzerstörung ist.

Für Cloud-Anbieter ist die Überprüfung des Domainbesitzes entscheidend, um Subdomain Takeovers zu verhindern. Einige, wie GitLab, haben dieses Problem erkannt und Mechanismen zur Domainüberprüfung implementiert.

Referenzen

• https://0xpatrik.com/subdomain-takeover/

Verwenden Sie Trickest, um mithilfe der weltweit fortschrittlichsten Community-Tools einfach Workflows zu erstellen und zu automatisieren.
Erhalten Sie noch heute Zugriff:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

• Wenn Sie Ihr Unternehmen in HackTricks beworben sehen oder HackTricks als PDF herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
• Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
• Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @carlospolopm.
• Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.