11 KiB
ドメイン/サブドメインの乗っ取り
htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterで私をフォローする🐦 @carlospolopm。
- ハッキングトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
ドメインの乗っ取り
スコープ内でサービスに使用されているドメイン(domain.tld)を発見した場合、企業が所有権を失っている可能性があります。そのドメインを登録して企業に通知することができます(安価であれば)。このドメインがセッションクッキーなどの機密情報を受信している場合(GETパラメーターまたはRefererヘッダー経由)、これは間違いなく脆弱性です。
サブドメインの乗っ取り
企業のサブドメインが登録されていない名前のサードパーティサービスを指している場合、このサードパーティサービスでアカウントを作成し、使用中の名前を登録することで、サブドメインの乗っ取りを行うことができます。
可能な乗っ取りをチェックするための辞書を持ついくつかのツールがあります:
- https://github.com/EdOverflow/can-i-take-over-xyz
- https://github.com/blacklanternsecurity/bbot
- https://github.com/punk-security/dnsReaper
- https://github.com/haccer/subjack
- https://github.com/anshumanbh/tko-sub
- https://github.com/ArifulProtik/sub-domain-takeover
- https://github.com/SaadAhmedx/Subdomain-Takeover
- https://github.com/Ice3man543/SubOver
- https://github.com/m4ll0k/takeover
- https://github.com/antichown/subdomain-takeover
- https://github.com/musana/mx-takeover
BBOTを使用してハイジャック可能なサブドメインをスキャンする:
BBOTのデフォルトのサブドメイン列挙には、サブドメインの乗っ取りチェックが含まれています。シグネチャは直接https://github.com/EdOverflow/can-i-take-over-xyzから取得されます。
bbot -t evilcorp.com -f subdomain-enum
DNSワイルドカードを使用したサブドメイン乗っ取り
ドメインでDNSワイルドカードが使用されると、そのドメインのリクエストされたサブドメインのうち、明示的に異なるアドレスが指定されていないものは、同じ情報に解決されます。これはA IPアドレス、CNAMEなどである可能性があります。
例えば、*.testing.comが1.1.1.1にワイルドカード指定されている場合、not-existent.testing.comは1.1.1.1を指すことになります。
しかし、IPアドレスではなく、サードパーティーサービスをCNAME経由で指定する場合、たとえばgithubのサブドメイン(sohomdatta1.github.ioなど)に指定する場合、攻撃者は自分のサードパーティーページ(この場合はGithub)を作成し、something.testing.comがそこを指すと主張することができます。CNAMEワイルドカードが攻撃者に同意するため、攻撃者は被害者のドメインのために自分のページを指す任意のサブドメインを生成することができます。
この脆弱性の例は、CTFの解説で見つけることができます:https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api
サブドメイン乗っ取りの悪用
サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの透明性により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のためにtyposquattingやDoppelganger domainsを利用することがあります。特に、フィッシングメールのURLが正当であるように見えるドメインでは、ドメインの信頼性により、ユーザーを欺いてスパムフィルターを回避することができます。
詳細については、この投稿を参照してください
SSL証明書
SSL証明書は、攻撃者がLet's Encryptなどのサービスを介して生成した場合、これらの偽のドメインの信頼性を高め、フィッシング攻撃をより説得力のあるものにします。
Cookieセキュリティとブラウザの透明性
ブラウザの透明性は、同一オリジンポリシーなどのポリシーによって管理されるクッキーのセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、単にユーザーを侵害されたサブドメインに誘導することで、セッションクッキーを収集することができ、ユーザーデータとプライバシーを危険にさらすことができます。
メールとサブドメイン乗っ取り
サブドメイン乗っ取りの別の側面には、メールサービスが含まれます。攻撃者は、合法的なサブドメインからメールを受信または送信するためにMXレコードを操作することができ、フィッシング攻撃の効果を高めることができます。
高次のリスク
さらなるリスクには、NSレコード乗っ取りがあります。攻撃者がドメインの1つのNSレコードを制御すると、トラフィックの一部を自分の管理下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL(生存時間)を高く設定すると、攻撃の期間が延長されるため、このリスクは増幅されます。
緩和策
緩和策には以下が含まれます:
- 脆弱なDNSレコードの削除 - サブドメインが不要になった場合に効果的です。
- ドメイン名の取得 - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することができます。
- 脆弱性の定期的な監視 - aquatoneなどのツールを使用して、脆弱なドメインを特定することができます。組織はまた、DNSレコードの作成がリソース作成の最終段階であり、リソースの破棄の最初の段階であることを確認するために、インフラ管理プロセスを見直す必要があります。
クラウドプロバイダーにとって、ドメイン所有権の検証はサブドメイン乗っ取りを防ぐために重要です。GitLabなど、一部のプロバイダーはこの問題を認識し、ドメイン検証メカニズムを実装しています。
参考文献
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化できます。
今すぐアクセスしてください:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
**htARTE(HackTricks AWS Red Team Expert)**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手してください
- 独占的なNFTsコレクションであるThe PEASS Familyを発見してください
- 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローしてください。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。