Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/domain-subdomain-takeover.md

9.8 KiB
Raw Blame History

Domein/Subdomein oorneem

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:


Gebruik Trickest om maklik te bou en outomatiseer werksvloei aangedryf deur die wêreld se mees gevorderde gemeenskapshulpmiddels.
Kry Vandaag Toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Domein oorneem

As jy 'n domein (domein.tld) ontdek wat deur 'n diens binne die omvang gebruik word maar die maatskappy het die eienaarskap daarvan verloor, kan jy probeer om dit te registreer (as dit goedkoop genoeg is) en die maatskappy daarvan in kennis stel. As hierdie domein 'n sensitiewe inligting soos 'n sessie koekie via GET parameter of in die Verwysings-kop ontvang, is dit beslis 'n kwesbaarheid.

Subdomein oorneem

'n Subdomein van die maatskappy wys na 'n derde party diens met 'n naam wat nie geregistreer is nie. As jy 'n rekening kan skep in hierdie derde party diens en die naam wat gebruik word registreer, kan jy die subdomein oorneem.

Daar is verskeie gereedskap met woordeboeke om vir moontlike oornames te kyk:

Skandering vir Oorvatbare Subdomeine met BBOT:

Subdomein oorneem kontroles is ingesluit in BBOT se standaard subdomein opname. Handtekeninge word direk gehaal vanaf https://github.com/EdOverflow/can-i-take-over-xyz.

bbot -t evilcorp.com -f subdomain-enum

Subdomein Oorname Generasie via DNS Wildcard

Wanneer 'n DNS wildcard in 'n domein gebruik word, sal enige aangevraagde subdomein van daardie domein wat nie uitdruklik 'n ander adres het nie, opgelos word na dieselfde inligting. Dit kan 'n A ip-adres wees, 'n CNAME...

Byvoorbeeld, as *.testing.com wilkaart is na 1.1.1.1. Dan sal not-existent.testing.com na 1.1.1.1 wys.

Maar, as die sysadmin dit in plaas van na 'n IP-adres na 'n derde party-diens via CNAME wys, soos 'n github subdomein byvoorbeeld (sohomdatta1.github.io). 'n Aanvaller kan sy eie derde party-bladsy (in Gihub in hierdie geval) skep en sê dat something.testing.com daarheen wys. Omdat die CNAME wildcard saamstem, sal die aanvaller in staat wees om willekeurige subdomeine vir die domein van die slagoffer te genereer wat na sy bladsye wys.

Jy kan 'n voorbeeld van hierdie kwesbaarheid in die CTF-verslag vind: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Uitbuiting van 'n subdomein-oornaam

Subdomein-oornaam is in wese DNS-spoofing vir 'n spesifieke domein regoor die internet, wat aanvallers in staat stel om A-rekords vir 'n domein in te stel, wat daartoe lei dat webblaaie inhoud van die aanvaller se bediener wys. Hierdie deursigtigheid in webblaaie maak domeine vatbaar vir hengel. Aanvallers kan tikfout-hengel of Doppelganger-domeine vir hierdie doel gebruik. Veral vatbaar is domeine waar die URL in 'n hengel-e-pos legitiem lyk, wat gebruikers mislei en spamfilters ontduik as gevolg van die domein se inherente vertroue.

Kyk na hierdie berig vir verdere besonderhede

SSL-sertifikate

SSL-sertifikate, indien deur aanvallers gegenereer via dienste soos Let's Encrypt, dra by tot die geloofwaardigheid van hierdie valse domeine, wat hengelaanvalle oortuigender maak.

Koekie-sekuriteit en Blaaierdeursigtigheid

Blaaierdeursigtigheid strek ook tot koekie-sekuriteit, wat geregeer word deur beleide soos die Gelyke-oorsprong-beleid. Koekies, dikwels gebruik om sessies te bestuur en aanmeldingstokens te stoor, kan deur subdomein-oornaam uitgebuit word. Aanvallers kan sessiekoekies versamel deur eenvoudig gebruikers na 'n gekompromitteerde subdomein te rig, wat gebruikersdata en privaatheid in gevaar bring.

E-posse en Subdomein-oornaam

'n Ander aspek van subdomein-oornaam behels e-posdienste. Aanvallers kan MX-rekords manipuleer om e-pos van 'n legitieme subdomein te ontvang of te stuur, wat die doeltreffendheid van hengelaanvalle verhoog.

Hoër Orde-risiko's

Verdere risiko's sluit NS-rekord-oornaam in. As 'n aanvaller beheer oor een NS-rekord van 'n domein verkry, kan hulle moontlik 'n gedeelte van die verkeer na 'n bediener onder hul beheer rig. Hierdie risiko word versterk as die aanvaller 'n hoë TTL (Tyd om te Lewe) vir DNS-rekords instel, wat die duur van die aanval verleng.

CNAME-rekord-kwesbaarheid

Aanvallers kan ongeëiste CNAME-rekords wat na eksterne dienste wys wat nie meer gebruik word of buite werking gestel is, uitbuit. Dit stel hulle in staat om 'n bladsy onder die vertroude domein te skep, wat hengel of malware-verspreiding verder fasiliteer.

Versagtingsstrategieë

Versagtingsstrategieë sluit in:

  1. Verwydering van kwesbare DNS-rekords - Dit is doeltreffend as die subdomein nie meer benodig word nie.
  2. Eis die domeinnaam op - Registreer die hulpbron by die betrokke wolkverskaffer of koop 'n vervalde domein terug.
  3. Gereelde monitering vir kwesbaarhede - Gereedskap soos aquatone kan help om vatbare domeine te identifiseer. Organisasies moet ook hul infrastruktuurbestuursprosesse hersien, om te verseker dat DNS-rekord-skepping die laaste stap in hulpbron-skepping is en die eerste stap in hulpbron-vernietiging.

Vir wolkverskaffers is die verifikasie van domeinbesit krities om subdomein-oornames te voorkom. Sommige, soos GitLab, het hierdie probleem herken en domeinverifikasiemeganismes geïmplementeer.

Verwysings


Gebruik Trickest om maklik werkstrome te bou en te outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapsinstrumente.
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: