hacktricks/pentesting-web/domain-subdomain-takeover.md

14 KiB
Raw Blame History

Domain/Subdomain takeover

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (Ειδικός Red Team του HackTricks AWS)!

Άλλοι τρόποι υποστήριξης του HackTricks:


Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας.
Αποκτήστε πρόσβαση σήμερα:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=domain-subdomain-takeover" %}

Κατάληψη Domain

Αν ανακαλύψετε κάποιο domain (domain.tld) που χρησιμοποιείται από κάποια υπηρεσία εντός του πεδίου εφαρμογής αλλά η εταιρεία έχει χάσει την ιδιοκτησία του, μπορείτε να προσπαθήσετε να το καταχωρίσετε (αν είναι αρκετά φθηνό) και να ενημερώσετε την εταιρεία. Αν αυτό το domain λαμβάνει κάποιες ευαίσθητες πληροφορίες όπως ένα sessions cookie μέσω GET παραμέτρου ή στην κεφαλίδα Referer, τότε αυτό είναι σίγουρα μια ευπάθεια.

Κατάληψη Subdomain

Ένα subdomain της εταιρείας δείχνει σε μια υπηρεσία τρίτου μέρους με ένα όνομα που δεν έχει καταχωριστεί. Αν μπορείτε να δημιουργήσετε ένα λογαριασμό σε αυτήν την υπηρεσία τρίτου μέρους και να καταχωρίσετε το όνομα που χρησιμοποιείται, τότε μπορείτε να πραγματοποιήσετε την κατάληψη του subdomain.

Υπάρχουν αρκετά εργαλεία με λεξικά για να ελέγξετε πιθανές καταλήψεις:

Σάρωση για Υποκλεπτόμενα Subdomains με το BBOT:

Οι έλεγχοι κατάληψης subdomain περιλαμβάνονται στην προεπιλεγμένη απαρίθμηση subdomain του BBOT. Οι ϥπογραφές ανακτώνται απευθείας από το https://github.com/EdOverflow/can-i-take-over-xyz.

bbot -t evilcorp.com -f subdomain-enum

Δημιουργία Κατάληψης Υποτομέα μέσω Αγριοχαρτογράφησης DNS

Όταν χρησιμοποιείται η αγριοχαρτογράφηση DNS σε έναν τομέα, οποιοδήποτε υποτομέας που ζητείται από αυτόν τον τομέα και δεν έχει ρυθμιστεί με διαφορετική διεύθυνση θα επιλύεται στις ίδιες πληροφορίες. Αυτό μπορεί να είναι μια διεύθυνση IP A, ένα CNAME...

Για παράδειγμα, αν *.testing.com έχει αγριοχαρτογραφηθεί στο 1.1.1.1. Τότε, ο not-existent.testing.com θα δείχνει στο 1.1.1.1.

Ωστόσο, αν αντί να δείχνει σε μια διεύθυνση IP, ο διαχειριστής το δείχνει σε ένα υπηρεσία τρίτου μέσω CNAME, όπως ένα υποτομέα του github για παράδειγμα (sohomdatta1.github.io). Ένας επιτιθέμενος θα μπορούσε να δημιουργήσει τη δική του σελίδα τρίτου μέρους (στο Github σε αυτήν την περίπτωση) και να δηλώσει ότι το something.testing.com δείχνει εκεί. Επειδή, το CNAME wildcard θα συμφωνήσει ο επιτιθέμενος θα μπορεί να δημιουργήσει αυθαίρετους υποτομείς για τον τομέα του θύματος που δείχνουν στις σελίδες του.

Μπορείτε να βρείτε ένα παράδειγμα αυτής της ευπάθειας στο CTF write-up: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Εκμετάλλευση μιας κατάληψης υποτομέα

Η κατάληψη υποτομέα είναι ουσιαστικά πλαστογράφηση DNS για έναν συγκεκριμένο τομέα σε Ͽλό το διαδίκτυο, επιτρέποντας στους επιτιθέμενους να ορίσουν εγγραφές A για έναν τομέα, οδηγώντας τους φυλλομετρητές να εμφανίζουν περιεχόμενο από τον διακομιστή του επιτιθέμενου. Αυτή η διαφάνεια στους φυλλομετρητές καθιστά τους τομείς ευάλωτους στο phishing. Οι επιτιθέμενοι μπορεί να χρησιμοποιήσουν typosquatting ή Doppelganger domains για αυτόν τον σκοπό. Ειδικά ευάλωτοι είναι οι τομείς όπου η διεύθυνση URL σε ένα email phishing φαίνεται αξιόπιστη, παραπλανώντας τους χρήστες και αποφεύγοντας τα φίλτρα ανεπιθύμητης αλληλογραφίας λόγω της εμπιστοσύνης του τομέα.

Ελέγξτε αυτήν την ανάρτηση για περισσότερες λεπτομέρειες

Πιστοποιητικά SSL

Τα πιστοποιητικά SSL, αν δημιουργηθούν από επιτιθέμενους μέσω υπηρεσιών όπως το Let's Encrypt, προσθέτουν στην εγκυρότητα αυτών των ψευδών τομέων, κάνοντας τις επιθέσεις phishing πιο πειστικές.

Ασφάλεια Cookies και Διαφάνεια Φυλλομετρητή

Η διαφάνεια του φυλλομετρητή επεκτείνεται επίσης στην ασφάλεια των cookies, που διέπεται από πολιτικές όπως η Πολιτική Ίδιας Προέλευσης. Τα cookies, συχνά χρησιμοποιούμενα για τη διαχείριση συνεδριών και την αποθήκευση των τεκμηρίων σύνδεσης, μπορούν να εκμεταλλευτούνται μέσω κατάληψης υποτομέα. Οι επιτιθέμενοι μπορούν να συλλέξουν cookies συνεδρίας απλά κατευθύνοντας τους χρήστες σε έναν υποτομέα που έχει διαρραγεί, εκθέτοντας τα δεδομένα και την ιδιωτικότητα των χρηστών.

Emails και Κατάληψη Υποτομέα

Ένα άλλο κομμάτι της κατάληψης υποτομέα αφορά τις υπηρεσίες email. Οι επιτιθέμενοι μπορούν να διαχειριστούν τις εγγραφές MX για να λαμβάνουν ή να στέλνουν emails από ένα νόμιμο υποτομέα, ενισχύοντας την αποτελεσματικότητα των επιθέσεων phishing.

Υψηλότεροι Κίνδυνοι

Περαιτέρω κίνδυνοι περιλαμβάνουν την κατάληψη εγγραφών NS. Αν ένας επιτιθέμενος αποκτήσει έλεγχο επάνω σε μια εγγραφή NS ενός τομέα, μπορεί δυνητικά να κατευθύνει ένα μέρος της κίνησης σε έναν διακομιστή υπό τον έλεγχό του. Αυτός ο κίνδυνος ενισχύεται αν ο επιτιθέμενος ορίσει ένα υψηλό TTL (Χρόνος Ζωής) για τις εγγραφές DNS, παρατείνοντας τη διάρκεια της επίθεσης.

Ευπάθεια Εγγραφής CNAME

Οι επιτιθέμενοι μπορεί να εκμεταλλευτούν μη αξιοποιημένες εγγραφές CNAME που δείχνουν σε εξωτερικές υπηρεσίες που δεν χρησιμοποιούνται πλέον ή έχουν αποσυρθεί. Αυτό τους επιτρέπει να δημιουργήσουν μια σελίδα υπό τον αξιόπιστο τομέα, διευκολύνοντας περαιτέρω το phishing ή τη διανομή κακόβουλου λογισμικού.

Στρατηγικές Αντιμετώπισης

Οι στρατηγικές αντιμετώπισης περιλαμβάνουν:

  1. Αφαίρεση ευάλωτων εγγραφών DNS - Αυτό είναι αποτελεσματικό εάν ο υποτομέας δεν απαιτείται πλέον.
  2. Δήλωση του ονόματος του τομέα - Εγγραφή του πόρου με τον αντίστοιχο πάροχο cloud ή επαναλήψη αγοράς ενός ληγμένου τομέα.
  3. Τακτική παρακολούθηση για ευπάθειες - Εργαλεία όπως το aquatone μπορούν να βοηθήσουν στον εντοπισμό ευάλωτων τομέων. Οι οργανισμοί πρέπει επίσης να αναθεωρήσουν τις διαδικασίες διαχείρισης υποδομής τους, εξασφαλίζοντας ότι η δημιουργία εγγραφών DNS είναι το τελευταίο βήμα στη δημιουργία πόρων και το πρώτο βήμα στην καταστροφή πόρων.

Για τους παρόχους cloud, η επαλήθευση της ιδιοκτησίας του τομέα είναι κρίσιμη για την πρόληψη καταλήψεων υποτομέων. Κάποιοι, όπως η GitLab, έχουν αναγνωρίσει αυτό το θέμα και έχουν εφαρμόσει μηχανισμούς επαλήθευσης τομέα.

Αναφορές


Χρησιμοποιήστε το Trickest για εύκολη δημιουργία και αυτοματοποίηση ροών εργασίας με τα πιο προηγμένα εργαλεία της παγκόσμιας πιο προηγμένης κοινότητας.
Αποκτήστε πρόσβαση σήμερα:

{% embed url="https://