10 KiB
Domain/Subdomain takeover
Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di esclusive NFT
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.
Usa Trickest per creare e automatizzare flussi di lavoro con gli strumenti comunitari più avanzati al mondo.
Ottieni l'accesso oggi stesso:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Domain takeover
Se scopri un dominio (dominio.tld) che viene utilizzato da un servizio all'interno dello scope ma l'azienda ha perso la proprietà di esso, puoi provare a registrarlo (se abbastanza economico) e farlo sapere all'azienda. Se questo dominio sta ricevendo informazioni sensibili come un cookie di sessione tramite parametro GET o nell'intestazione Referer, questa è sicuramente una vulnerabilità.
Subdomain takeover
Un sottodominio dell'azienda punta a un servizio di terze parti con un nome non registrato. Se puoi creare un account in questo servizio di terze parti e registrare il nome in uso, puoi eseguire il subdomain takeover.
Ci sono diversi strumenti con dizionari per verificare possibili takeover:
- https://github.com/EdOverflow/can-i-take-over-xyz
- https://github.com/blacklanternsecurity/bbot
- https://github.com/punk-security/dnsReaper
- https://github.com/haccer/subjack
- https://github.com/anshumanbh/tko-sub
- https://github.com/ArifulProtik/sub-domain-takeover
- https://github.com/SaadAhmedx/Subdomain-Takeover
- https://github.com/Ice3man543/SubOver
- https://github.com/m4ll0k/takeover
- https://github.com/antichown/subdomain-takeover
- https://github.com/musana/mx-takeover
Scansione per sottodomini suscettibili di hijacking con BBOT:
I controlli di subdomain takeover sono inclusi nell'enumerazione predefinita dei sottodomini di BBOT. Le firme vengono estratte direttamente da https://github.com/EdOverflow/can-i-take-over-xyz.
bbot -t evilcorp.com -f subdomain-enum
Generazione di Subdomain Takeover tramite DNS Wildcard
Quando viene utilizzato un wildcard DNS in un dominio, ogni sottodominio richiesto di quel dominio che non ha un indirizzo diverso sarà risolto alle stesse informazioni. Questo potrebbe essere un indirizzo IP A, un CNAME...
Ad esempio, se *.testing.com viene wildcared a 1.1.1.1. Allora, not-existent.testing.com punterà a 1.1.1.1.
Tuttavia, se invece di puntare a un indirizzo IP, l'amministratore di sistema lo punta a un servizio di terze parti tramite CNAME, come ad esempio un sottodominio di GitHub (sohomdatta1.github.io). Un attaccante potrebbe creare la propria pagina di terze parti (in questo caso su GitHub) e dire che something.testing.com punta lì. Poiché il wildcard CNAME lo consente, l'attaccante sarà in grado di generare arbitrariamente sottodomini per il dominio della vittima puntando alle sue pagine.
Puoi trovare un esempio di questa vulnerabilità nella descrizione del CTF: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api
Sfruttare un subdomain takeover
Il subdomain takeover è essenzialmente un DNS spoofing per un dominio specifico su Internet, che consente agli attaccanti di impostare record A per un dominio, portando i browser a visualizzare contenuti dal server dell'attaccante. Questa trasparenza nei browser rende i domini vulnerabili al phishing. Gli attaccanti possono utilizzare typosquatting o domini Doppelganger a questo scopo. Sono particolarmente vulnerabili i domini in cui l'URL in una email di phishing appare legittimo, ingannando gli utenti ed eludendo i filtri antispam grazie alla fiducia intrinseca del dominio.
Consulta questo post per ulteriori dettagli
Certificati SSL
I certificati SSL, se generati dagli attaccanti tramite servizi come Let's Encrypt, aumentano la legittimità di questi domini falsi, rendendo gli attacchi di phishing più convincenti.
Sicurezza dei cookie e trasparenza del browser
La trasparenza del browser si estende anche alla sicurezza dei cookie, regolata da politiche come la política della stessa origine. I cookie, spesso utilizzati per gestire le sessioni e memorizzare i token di accesso, possono essere sfruttati tramite il subdomain takeover. Gli attaccanti possono raccogliere i cookie di sessione semplicemente indirizzando gli utenti a un sottodominio compromesso, mettendo a rischio i dati e la privacy degli utenti.
Email e subdomain takeover
Un altro aspetto del subdomain takeover riguarda i servizi di posta elettronica. Gli attaccanti possono manipolare i record MX per ricevere o inviare email da un sottodominio legittimo, aumentando l'efficacia degli attacchi di phishing.
Rischi di ordine superiore
Altri rischi includono il takeover dei record NS. Se un attaccante prende il controllo di un record NS di un dominio, potrebbe potenzialmente indirizzare una parte del traffico verso un server sotto il suo controllo. Questo rischio viene amplificato se l'attaccante imposta un alto TTL (Time to Live) per i record DNS, prolungando la durata dell'attacco.
Vulnerabilità del record CNAME
Gli attaccanti potrebbero sfruttare record CNAME non reclamati che puntano a servizi esterni non più utilizzati o dismessi. Ciò consente loro di creare una pagina sotto il dominio fidato, facilitando ulteriormente il phishing o la distribuzione di malware.
Strategie di mitigazione
Le strategie di mitigazione includono:
- Rimuovere i record DNS vulnerabili - Questo è efficace se il sottodominio non è più necessario.
- Reclamare il nome di dominio - Registrare la risorsa presso il provider cloud corrispondente o ricomprare un dominio scaduto.
- Monitoraggio regolare delle vulnerabilità - Strumenti come aquatone possono aiutare a identificare i domini suscettibili. Le organizzazioni dovrebbero anche rivedere i loro processi di gestione dell'infrastruttura, assicurandosi che la creazione dei record DNS sia l'ultimo passo nella creazione delle risorse e il primo passo nella distruzione delle risorse.
Per i provider cloud, la verifica della proprietà del dominio è cruciale per prevenire i subdomain takeover. Alcuni, come GitLab, hanno riconosciuto questo problema e hanno implementato meccanismi di verifica del dominio.
Riferimenti
Utilizza Trickest per creare e automatizzare facilmente flussi di lavoro basati sugli strumenti della community più avanzati al mondo.
Ottieni l'accesso oggi stesso:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF, consulta i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di esclusive NFT
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR ai repository GitHub di HackTricks e HackTricks Cloud.