hacktricks/pentesting-web/domain-subdomain-takeover.md

8.8 KiB
Raw Blame History

域名/子域接管

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS Red Team Expert

支持HackTricks的其他方式


使用Trickest可以轻松构建和自动化工作流程,使用世界上最先进的社区工具。
立即获取访问权限:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

域接管

如果您发现某个域名domain.tld被某个服务在范围内使用,但公司已经失去了对其的所有权,您可以尝试注册它(如果便宜的话),并通知公司。如果该域名通过GET参数或Referer标头接收到一些敏感信息比如会话cookie那么这肯定是一个漏洞

子域接管

公司的一个子域指向一个未注册名称的第三方服务。如果您可以在这个第三方服务创建一个帐户注册正在使用的名称,则可以执行子域接管。

有几种带有字典的工具可用于检查可能的接管:

使用BBOT扫描可劫持的子域:

BBOT的默认子域枚举中包含子域接管检查。签名直接从https://github.com/EdOverflow/can-i-take-over-xyz获取。

bbot -t evilcorp.com -f subdomain-enum

通过DNS通配符生成子域接管

当在一个域中使用DNS通配符时该域的任何请求的子域如果没有明确指定不同的地址将被解析为相同的信息。这可以是一个A ip地址一个CNAME...

例如,如果*.testing.com被通配到1.1.1.1。那么,not-existent.testing.com将指向1.1.1.1

然而,如果管理员将其指向第三方服务通过CNAME,比如一个github子域,例如(sohomdatta1.github.io)。攻击者可以创建自己的第三方页面在这种情况下是Github并表示something.testing.com指向那里。因为,CNAME通配符将同意攻击者能够为受害者的域生成任意子域指向他的页面

您可以在CTF解密中找到此漏洞的示例https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

利用子域接管

子域接管本质上是互联网上特定域的DNS欺骗允许攻击者为一个域设置A记录导致浏览器显示来自攻击者服务器的内容。这种浏览器中的透明性使域名容易受到钓鱼攻击。攻击者可能利用typosquattingDoppelganger domains来实现这一目的。特别容易受到影响的是在钓鱼邮件中URL看起来合法的域名欺骗用户并通过域名固有的信任规避垃圾邮件过滤器。

查看此帖子以获取更多详细信息

SSL证书

如果攻击者通过像Let's Encrypt这样的服务生成SSL证书将增加这些虚假域名的合法性使钓鱼攻击更具说服力。

Cookie安全和浏览器透明性

浏览器透明性还涉及到cookie安全同源策略等政策的约束。Cookie通常用于管理会话和存储登录令牌可以通过子域接管来利用。攻击者可以通过将用户重定向到一个受损的子域来收集会话cookie,危及用户数据和隐私。

电子邮件和子域接管

子域接管的另一个方面涉及电子邮件服务。攻击者可以操纵MX记录以从合法子域接收或发送电子邮件,增强钓鱼攻击的效果。

更高级别的风险

进一步的风险包括NS记录接管。如果攻击者控制了一个域的一个NS记录他们可能会将一部分流量引导到他们控制的服务器。如果攻击者为DNS记录设置了较高的TTL生存时间,则这种风险会加剧,延长攻击的持续时间。

CNAME记录漏洞

攻击者可能会利用指向不再使用或已被废弃的外部服务的未声明的CNAME记录。这使他们可以在受信任的域下创建一个页面进一步促进钓鱼或恶意软件分发。

缓解策略

缓解策略包括:

  1. 删除易受攻击的DNS记录 - 如果不再需要子域,则这是有效的。
  2. 声明域名 - 在相应的云提供商注册资源或重新购买过期的域名。
  3. 定期监控漏洞 - 像aquatone这样的工具可以帮助识别易受攻击的域。组织还应审查其基础设施管理流程确保DNS记录创建是资源创建的最后一步也是资源销毁的第一步。

对于云提供商,验证域名所有权对于防止子域接管至关重要。一些提供商,如GitLab,已经意识到了这个问题,并实施了域名验证机制。

参考资料


使用Trickest可以轻松构建和自动化工作流程,使用全球最先进的社区工具。
立即获取访问权限:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS Red Team Expert

支持HackTricks的其他方式