11 KiB
ドメイン/サブドメインの乗っ取り
htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいか、HackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsコレクションを見つける
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦でフォローする:@carlospolopm。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
Trickestを使用して、世界で最も高度なコミュニティツールによってパワードされたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
ドメインの乗っ取り
スコープ内でサービスに使用されているドメイン(domain.tld)を発見した場合、企業が所有権を失っている可能性があります。このドメインを登録して(安価であれば)、企業に通知できます。このドメインがGETパラメータやRefererヘッダーを介してセッションクッキーなどの機密情報を受信している場合、これは間違いなく脆弱性です。
サブドメインの乗っ取り
企業のサブドメインが登録されていない名前のサードパーティサービスを指している場合、このサードパーティサービスでアカウントを作成し、使用中の名前を登録できれば、サブドメインの乗っ取りを行うことができます。
可能な乗っ取りをチェックするための辞書を持ついくつかのツールがあります:
- https://github.com/EdOverflow/can-i-take-over-xyz
- https://github.com/blacklanternsecurity/bbot
- https://github.com/punk-security/dnsReaper
- https://github.com/haccer/subjack
- https://github.com/anshumanbh/tko-sub
- https://github.com/ArifulProtik/sub-domain-takeover
- https://github.com/SaadAhmedx/Subdomain-Takeover
- https://github.com/Ice3man543/SubOver
- https://github.com/m4ll0k/takeover
- https://github.com/antichown/subdomain-takeover
- https://github.com/musana/mx-takeover
BBOTを使用してハイジャック可能なサブドメインをスキャンする:
bbot -t evilcorp.com -f subdomain-enum
DNSワイルドカードを使用したサブドメイン乗っ取り
ドメインでDNSワイルドカードが使用されると、そのドメインのリクエストされたサブドメインのうち、明示的に異なるアドレスが指定されていないものは、同じ情報に解決されます。これはA IPアドレス、CNAMEなどである可能性があります。
例えば、*.testing.comが1.1.1.1にワイルドカード指定されている場合、not-existent.testing.comは1.1.1.1を指すことになります。
しかし、IPアドレスではなく、サードパーティーサービスをCNAME経由で指定する場合、たとえばgithubのサブドメイン(sohomdatta1.github.ioなど)に指定する場合、攻撃者は自分のサードパーティーページ(この場合はGithub)を作成し、something.testing.comがそこを指すと主張することができます。CNAMEワイルドカードが攻撃者に同意するため、攻撃者は被害者のドメインのために任意のサブドメインを自分のページを指すように生成することができます。
この脆弱性の例は、CTFの解説で見つけることができます:https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api
サブドメイン乗っ取りの悪用
サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの透明性により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のためにtyposquattingやDoppelganger domainsを利用することがあります。特に、フィッシングメールのURLが正当であるように見え、ドメインの信頼性によりユーザーを欺き、スパムフィルターを回避することができます。
詳細については、この投稿を参照してください
SSL証明書
攻撃者がLet's Encryptなどのサービスを介して生成したSSL証明書は、これらの偽のドメインの信頼性を高め、フィッシング攻撃をより説得力のあるものにします。
Cookieセキュリティとブラウザの透明性
ブラウザの透明性は、同一生成元ポリシーなどのポリシーによって管理されるクッキーのセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、危険にさらされたサブドメインにユーザーを誘導することで、セッションクッキーを収集することができ、ユーザーデータやプライバシーを危険にさらすことができます。
メールとサブドメイン乗っ取り
サブドメイン乗っ取りの別の側面には、メールサービスが含まれます。攻撃者は、MXレコードを操作して、正当なサブドメインからメールを受信または送信することができ、フィッシング攻撃の効果を高めることができます。
高次のリスク
さらなるリスクには、NSレコード乗っ取りがあります。攻撃者がドメインの1つのNSレコードを制御すると、トラフィックの一部を自分の管理下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL(生存時間)を高く設定すると、攻撃の期間が延長され、このリスクが増大します。
CNAMEレコードの脆弱性
攻撃者は、使用されなくなった外部サービスを指す未使用のCNAMEレコードを悪用するかもしれません。これにより、信頼されたドメインの下にページを作成し、フィッシングやマルウェアの配布をさらに容易にすることができます。
緩和策
緩和策には次のものがあります:
- 脆弱なDNSレコードの削除 - サブドメインが不要になった場合に効果的です。
- ドメイン名の取得 - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することが含まれます。
- 脆弱性の定期的な監視 - aquatoneなどのツールを使用して、脆弱なドメインを特定することができます。組織はまた、DNSレコードの作成がリソース作成の最終段階であり、リソース破棄の最初の段階であることを確認するために、インフラ管理プロセスを見直す必要があります。
クラウドプロバイダーにとって、ドメイン所有権の検証はサブドメイン乗っ取りを防ぐために重要です。GitLabなど、一部のプロバイダーはこの問題を認識し、ドメイン検証メカニズムを実装しています。
参考文献
Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化できます。
今すぐアクセス:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
**ゼロからヒーローまでのAWSハッキングを**学ぶhtARTE(HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください!
- 公式PEASS&HackTricksのスウォッグを手に入れる
- 独占的なNFTsコレクションであるThe PEASS Familyを発見
- 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
- HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。