10 KiB
Domínio/Subdomínio takeover
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Verifique os PLANOS DE ASSINATURA!
- Adquira produtos oficiais PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para HackTricks e HackTricks Cloud github repos.
Use Trickest para construir e automatizar fluxos de trabalho facilmente com as ferramentas comunitárias mais avançadas do mundo.
Acesse hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Domínio takeover
Se você descobrir que algum domínio (domínio.tld) está sendo usado por algum serviço dentro do escopo mas a empresa perdeu a propriedade dele, você pode tentar registrá-lo (se for barato o suficiente) e informar a empresa. Se este domínio estiver recebendo alguma informação sensível como um cookie de sessão via parâmetro GET ou no cabeçalho Referer, isso é com certeza uma vulnerabilidade.
Subdomínio takeover
Um subdomínio da empresa está apontando para um serviço de terceiros com um nome não registrado. Se você puder criar uma conta neste serviço de terceiros e registrar o nome em uso, você pode realizar o subdomínio takeover.
Existem várias ferramentas com dicionários para verificar possíveis takeovers:
- https://github.com/EdOverflow/can-i-take-over-xyz
- https://github.com/blacklanternsecurity/bbot
- https://github.com/punk-security/dnsReaper
- https://github.com/haccer/subjack
- https://github.com/anshumanbh/tko-sub
- https://github.com/ArifulProtik/sub-domain-takeover
- https://github.com/SaadAhmedx/Subdomain-Takeover
- https://github.com/Ice3man543/SubOver
- https://github.com/m4ll0k/takeover
- https://github.com/antichown/subdomain-takeover
- https://github.com/musana/mx-takeover
- https://github.com/PentestPad/subzy
Verificação de Subdomínios Suscetíveis a Sequestro com BBOT:
As verificações de subdomínio takeover estão incluídas na enumeração padrão de subdomínios do BBOT. As assinaturas são retiradas diretamente de https://github.com/EdOverflow/can-i-take-over-xyz.
bbot -t evilcorp.com -f subdomain-enum
Geração de Subdomínio Takeover via DNS Wildcard
Quando um wildcard DNS é usado em um domínio, qualquer subdomínio solicitado desse domínio que não tenha um endereço diferente explicitamente será resolvido para as mesmas informações. Isso pode ser um endereço IP A, um CNAME...
Por exemplo, se *.testing.com
for wildcarded para 1.1.1.1
. Então, not-existent.testing.com
estará apontando para 1.1.1.1
.
No entanto, se em vez de apontar para um endereço IP, o administrador de sistema apontar para um serviço de terceiros via CNAME, como um subdomínio do github por exemplo (sohomdatta1.github.io
). Um atacante poderia criar sua própria página de terceiros (no Github neste caso) e dizer que something.testing.com
está apontando para lá. Porque, o wildcard CNAME concordará e o atacante será capaz de gerar subdomínios arbitrários para o domínio da vítima apontando para suas páginas.
Você pode encontrar um exemplo dessa vulnerabilidade no CTF write-up: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api
Explorando um subdomínio takeover
Subdomain takeover é essencialmente um spoofing DNS para um domínio específico em toda a internet, permitindo que atacantes configurem registros A para um domínio, levando os navegadores a exibir conteúdo do servidor do atacante. Essa transparência nos navegadores torna os domínios propensos a phishing. Os atacantes podem empregar typosquatting ou Doppelganger domains para esse fim. Especialmente vulneráveis são os domínios onde a URL em um e-mail de phishing parece legítima, enganando os usuários e evitando filtros de spam devido à confiança inerente do domínio.
Confira este post para mais detalhes
Certificados SSL
Certificados SSL, se gerados por atacantes por meio de serviços como Let's Encrypt, aumentam a legitimidade desses domínios falsos, tornando os ataques de phishing mais convincentes.
Segurança de Cookies e Transparência do Navegador
A transparência do navegador também se estende à segurança dos cookies, governada por políticas como a Política da mesma origem. Cookies, frequentemente usados para gerenciar sessões e armazenar tokens de login, podem ser explorados por meio de subdomínio takeover. Os atacantes podem coletar cookies de sessão simplesmente direcionando os usuários para um subdomínio comprometido, colocando em risco os dados e a privacidade do usuário.
E-mails e Subdomínio Takeover
Outro aspecto do subdomínio takeover envolve serviços de e-mail. Os atacantes podem manipular registros MX para receber ou enviar e-mails de um subdomínio legítimo, aumentando a eficácia dos ataques de phishing.
Riscos de Ordem Superior
Outros riscos incluem takeover de registros NS. Se um atacante ganhar controle sobre um registro NS de um domínio, eles podem potencialmente direcionar uma parte do tráfego para um servidor sob seu controle. Esse risco é ampliado se o atacante definir um alto TTL (Tempo de Vida) para os registros DNS, prolongando a duração do ataque.
Vulnerabilidade de Registro CNAME
Os atacantes podem explorar registros CNAME não reclamados apontando para serviços externos que não são mais usados ou foram desativados. Isso lhes permite criar uma página sob o domínio confiável, facilitando ainda mais o phishing ou a distribuição de malware.
Estratégias de Mitigação
As estratégias de mitigação incluem:
- Remover registros DNS vulneráveis - Isso é eficaz se o subdomínio não for mais necessário.
- Reivindicar o nome de domínio - Registrar o recurso com o provedor de nuvem respectivo ou recomprar um domínio expirado.
- Monitoramento regular de vulnerabilidades - Ferramentas como aquatone podem ajudar a identificar domínios suscetíveis. As organizações também devem revisar seus processos de gerenciamento de infraestrutura, garantindo que a criação de registros DNS seja a etapa final na criação de recursos e a primeira etapa na destruição de recursos.
Para provedores de nuvem, verificar a propriedade do domínio é crucial para evitar subdomínio takeovers. Alguns, como GitLab, reconheceram esse problema e implementaram mecanismos de verificação de domínio.
Referências
Use Trickest para construir e automatizar fluxos de trabalho facilmente com as ferramentas comunitárias mais avançadas do mundo.
Tenha Acesso Hoje:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras maneiras de apoiar o HackTricks:
- Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra The PEASS Family, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para o HackTricks e HackTricks Cloud github repos.