hacktricks/pentesting-web/domain-subdomain-takeover.md

Domain/Subdomain takeover

{% hint style="success" %} Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Überprüfe die Abonnementpläne!
• Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
• Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

{% endhint %}

Nutze Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden.
Erhalte heute Zugang:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=domain-subdomain-takeover" %}

Domain takeover

Wenn du eine Domain (domain.tld) entdeckst, die von einem Dienst innerhalb des Geltungsbereichs verwendet wird, aber das Unternehmen die Eigentümerschaft verloren hat, kannst du versuchen, sie zu registrieren (wenn sie günstig genug ist) und das Unternehmen darüber zu informieren. Wenn diese Domain einige sensible Informationen wie ein Sitzungs-Cookie über den GET-Parameter oder im Referer-Header erhält, ist dies mit Sicherheit eine Schwachstelle.

Subdomain takeover

Eine Subdomain des Unternehmens verweist auf einen Drittanbieterdienst mit einem nicht registrierten Namen. Wenn du ein Konto in diesem Drittanbieterdienst erstellen und den Namen, der verwendet wird, registrieren kannst, kannst du die Subdomain übernehmen.

Es gibt mehrere Tools mit Wörterbüchern, um mögliche Übernahmen zu überprüfen:

• https://github.com/EdOverflow/can-i-take-over-xyz
• https://github.com/blacklanternsecurity/bbot
• https://github.com/punk-security/dnsReaper
• https://github.com/haccer/subjack
• https://github.com/anshumanbh/tko-sub
• https://github.com/ArifulProtik/sub-domain-takeover
• https://github.com/SaadAhmedx/Subdomain-Takeover
• https://github.com/Ice3man543/SubOver
• https://github.com/m4ll0k/takeover
• https://github.com/antichown/subdomain-takeover
• https://github.com/musana/mx-takeover
• https://github.com/PentestPad/subzy

Scanning for Hijackable Subdomains with BBOT:

Subdomain takeover-Überprüfungen sind in der Standard-Subdomain-Enumeration von BBOT enthalten. Signaturen werden direkt von https://github.com/EdOverflow/can-i-take-over-xyz abgerufen.

bbot -t evilcorp.com -f subdomain-enum

Subdomain Takeover Generation via DNS Wildcard

Wenn ein DNS-Wildcard in einer Domain verwendet wird, wird jede angeforderte Subdomain dieser Domain, die keine andere Adresse explizit hat, auf die gleichen Informationen aufgelöst. Dies könnte eine A-IP-Adresse, ein CNAME...

Zum Beispiel, wenn *.testing.com auf 1.1.1.1 wildcarded ist. Dann wird not-existent.testing.com auf 1.1.1.1 zeigen.

Wenn der Sysadmin jedoch anstelle einer IP-Adresse auf einen Drittanbieterdienst über CNAME verweist, wie zum Beispiel auf eine GitHub-Subdomain (sohomdatta1.github.io). Könnte ein Angreifer seine eigene Drittanbieter-Seite (in diesem Fall auf GitHub) erstellen und sagen, dass something.testing.com dort hinzeigt. Denn der CNAME-Wildcard wird zustimmen, dass der Angreifer in der Lage sein wird, willkürliche Subdomains für die Domain des Opfers zu generieren, die auf seine Seiten zeigen.

Ein Beispiel für diese Schwachstelle finden Sie im CTF-Bericht: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Exploiting a subdomain takeover

Subdomain Takeover ist im Wesentlichen DNS-Spoofing für eine bestimmte Domain im Internet, das es Angreifern ermöglicht, A-Records für eine Domain festzulegen, wodurch Browser Inhalte vom Server des Angreifers anzeigen. Diese Transparenz in Browsern macht Domains anfällig für Phishing. Angreifer können Typosquatting oder Doppelgänger-Domains zu diesem Zweck verwenden. Besonders anfällig sind Domains, bei denen die URL in einer Phishing-E-Mail legitim erscheint, Benutzer täuscht und Spam-Filter aufgrund des inhärenten Vertrauens der Domain umgeht.

Überprüfen Sie diesen Beitrag für weitere Details

SSL-Zertifikate

SSL-Zertifikate, wenn sie von Angreifern über Dienste wie Let's Encrypt generiert werden, erhöhen die Legitimität dieser gefälschten Domains und machen Phishing-Angriffe überzeugender.

Cookie-Sicherheit und Browser-Transparenz

Die Browser-Transparenz erstreckt sich auch auf die Cookie-Sicherheit, die durch Richtlinien wie die Same-origin policy geregelt wird. Cookies, die häufig zur Verwaltung von Sitzungen und zur Speicherung von Anmeldetoken verwendet werden, können durch Subdomain Takeover ausgenutzt werden. Angreifer können Sitzungscookies sammeln, indem sie Benutzer einfach auf eine kompromittierte Subdomain leiten, was die Benutzerdaten und die Privatsphäre gefährdet.

E-Mails und Subdomain Takeover

Ein weiterer Aspekt des Subdomain Takeover betrifft E-Mail-Dienste. Angreifer können MX-Records manipulieren, um E-Mails von einer legitimen Subdomain zu empfangen oder zu senden, was die Wirksamkeit von Phishing-Angriffen erhöht.

Höhere Risiken

Weitere Risiken umfassen NS-Record Takeover. Wenn ein Angreifer die Kontrolle über einen NS-Record einer Domain erlangt, kann er potenziell einen Teil des Traffics auf einen Server unter seiner Kontrolle umleiten. Dieses Risiko wird verstärkt, wenn der Angreifer eine hohe TTL (Time to Live) für DNS-Records festlegt, was die Dauer des Angriffs verlängert.

CNAME-Record-Schwachstelle

Angreifer könnten unbeanspruchte CNAME-Records ausnutzen, die auf externe Dienste verweisen, die nicht mehr verwendet werden oder stillgelegt wurden. Dies ermöglicht es ihnen, eine Seite unter der vertrauenswürdigen Domain zu erstellen, was Phishing oder die Verbreitung von Malware weiter erleichtert.

Minderungsstrategien

Minderungsstrategien umfassen:

1. Entfernen verwundbarer DNS-Records - Dies ist effektiv, wenn die Subdomain nicht mehr benötigt wird.
2. Beanspruchen des Domainnamens - Registrierung der Ressource beim jeweiligen Cloud-Anbieter oder Rückkauf einer abgelaufenen Domain.
3. Regelmäßige Überwachung auf Schwachstellen - Tools wie aquatone können helfen, anfällige Domains zu identifizieren. Organisationen sollten auch ihre Infrastrukturmanagementprozesse überarbeiten, um sicherzustellen, dass die Erstellung von DNS-Records der letzte Schritt bei der Ressourcenerstellung und der erste Schritt bei der Ressourcenzerstörung ist.

Für Cloud-Anbieter ist die Überprüfung des Domainbesitzes entscheidend, um Subdomain Takeovers zu verhindern. Einige, wie GitLab, haben dieses Problem erkannt und Mechanismen zur Domainverifizierung implementiert.

References

• https://0xpatrik.com/subdomain-takeover/

Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden.
Zugang heute erhalten:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=domain-subdomain-takeover" %}

{% hint style="success" %} Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

{% endhint %}