Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 01:17:36 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/domain-subdomain-takeover.md

12 KiB
Raw Blame History

ドメイン/サブドメインの乗っ取り

htARTEHackTricks AWS Red Team Expert でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

ドメインの乗っ取り

スコープ内でサービスに使用されているドメインdomain.tldを発見した場合、企業がそれを所有していない可能性があります。その場合、登録して企業に通知することができます(安価であれば)。このドメインがGETパラメータやRefererヘッダー経由でセッションクッキーなどの機密情報を受信している場合、これは間違いなく脆弱性です。

サブドメインの乗っ取り

企業のサブドメインが登録されていない名前のサードパーティサービスを指している場合、このサードパーティサービスアカウントを作成し、使用中の名前登録することで、サブドメインの乗っ取りを行うことができます。

可能な乗っ取りをチェックするための辞書を持ついくつかのツールがあります:

BBOTを使用してハイジャック可能なサブドメインをスキャンするサブドメインの乗っ取りチェックは、BBOTのデフォルトのサブドメイン列挙に含まれています。シグネチャは直接https://github.com/EdOverflow/can-i-take-over-xyzから取得されます。

bbot -t evilcorp.com -f subdomain-enum

DNSワイルドカードを使用したサブドメイン乗っ取り

ドメインでDNSワイルドカードが使用されると、そのドメインの異なるアドレスが明示的に指定されていないサブドメインのリクエストは、同じ情報に解決されます。これはA IPアドレス、CNAMEなどである可能性があります。

例えば、*.testing.com1.1.1.1にワイルドカード指定されている場合、not-existent.testing.com1.1.1.1を指すことになります。

しかし、IPアドレスを指定する代わりに、システム管理者がCNAME経由でサードパーティーサービス(たとえばgithubサブドメイン)に指定した場合(sohomdatta1.github.ioなど)、攻撃者は自分自身のサードパーティーページこの場合はGihubを作成し、something.testing.comがそこを指すと主張することができます。CNAMEワイルドカードが攻撃者に同意するため、攻撃者は被害者のドメインのために自分のページを指す任意のサブドメインを生成することができます。

この脆弱性の例は、CTFの解説で見つけることができますhttps://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

サブドメイン乗っ取りの悪用

サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの透明性により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のためにtyposquattingDoppelganger domainsを利用することがあります。特に、フィッシングメールのURLが正当であるように見え、ドメインの信頼性によりユーザーを欺いてスパムフィルターを回避するドメインは脆弱です。

詳細については、この投稿を参照してください

SSL証明書

攻撃者がLet's Encryptなどのサービスを介して生成したSSL証明書は、これらの偽のドメインの信頼性を高め、フィッシング攻撃をより説得力のあるものにします。

Cookieセキュリティとブラウザの透明性

ブラウザの透明性は、同一オリジンポリシーなどのポリシーによって管理されるクッキーのセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、危険にさらされたサブドメインにユーザーを誘導することで、セッションクッキーを収集することができ、ユーザーデータとプライバシーを危険にさらすことになります。

メールとサブドメイン乗っ取り

サブドメイン乗っ取りの別の側面には、メールサービスが関わります。攻撃者はMXレコードを操作して、正当なサブドメインからメールを受信または送信することができ、フィッシング攻撃の効果を高めることができます。

高次のリスク

さらなるリスクには、NSレコード乗っ取りがあります。攻撃者がドメインの1つのNSレコードを制御すると、一部のトラフィックを自分の管理下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL生存時間を高く設定すると、攻撃の期間が延長されるため、このリスクは増幅されます。

CNAMEレコードの脆弱性

攻撃者は、使用されなくなった外部サービスを指す未使用のCNAMEレコードを悪用することがあります。これにより、信頼されたドメインの下にページを作成し、フィッシングやマルウェアの配布をさらに容易にすることができます。

緩和策

緩和策には次のものがあります:

  1. 脆弱なDNSレコードの削除 - サブドメインが不要になった場合に効果的です。
  2. ドメイン名の取得 - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することが含まれます。
  3. 脆弱性の定期的な監視 - aquatoneなどのツールを使用して脆弱なドメインを特定することができます。組織はまた、インフラ管理プロセスを見直し、DNSレコードの作成がリソース作成の最終段階であり、リソース破棄の最初の段階であることを確認すべきです。

クラウドプロバイダーにとって、ドメイン所有権の検証はサブドメイン乗っ取りを防ぐために重要です。GitLabなど、一部のプロバイダーはこの問題を認識し、ドメイン検証メカニズムを実装しています。

参考文献


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化できます。
今すぐアクセスしてください:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

**htARTEHackTricks AWS Red Team Expert**で**ゼロからヒーローまでのAWSハッキング**を学びましょう!

HackTricksをサポートする他の方法