mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-15 01:17:36 +00:00
113 lines
11 KiB
Markdown
113 lines
11 KiB
Markdown
# ドメイン/サブドメインの乗っ取り
|
||
|
||
<details>
|
||
|
||
<summary><strong>htARTE(HackTricks AWS Red Team Expert)</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong>!</strong></summary>
|
||
|
||
HackTricksをサポートする他の方法:
|
||
|
||
- **HackTricksで企業を宣伝**したいか、**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
||
- [**公式PEASS&HackTricksスワッグ**](https://peass.creator-spring.com)を入手する
|
||
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
|
||
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦で**フォロー**する:[**@carlospolopm**](https://twitter.com/hacktricks_live)。
|
||
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
|
||
|
||
</details>
|
||
|
||
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
|
||
|
||
\
|
||
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによってパワードされた**ワークフローを簡単に構築**および**自動化**します。\
|
||
今すぐアクセスを取得:
|
||
|
||
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
|
||
|
||
## ドメインの乗っ取り
|
||
|
||
スコープ内で**サービスに使用されているドメイン(domain.tld)**を発見した場合、**企業**が**所有権を失っている**可能性があります。このドメインを**登録**して(安価であれば)、企業に通知できます。このドメインが**GET**パラメータや**Referer**ヘッダーを介して**セッションクッキーなどの機密情報**を受信している場合、これは間違いなく**脆弱性**です。
|
||
|
||
### サブドメインの乗っ取り
|
||
|
||
企業のサブドメインが**登録されていない名前のサードパーティサービス**を指している場合、この**サードパーティサービス**で**アカウントを作成**し、使用中の**名前**を**登録**できれば、サブドメインの乗っ取りを行うことができます。
|
||
|
||
可能な乗っ取りをチェックするための辞書を持ついくつかのツールがあります:
|
||
|
||
- [https://github.com/EdOverflow/can-i-take-over-xyz](https://github.com/EdOverflow/can-i-take-over-xyz)
|
||
- [https://github.com/blacklanternsecurity/bbot](https://github.com/blacklanternsecurity/bbot)
|
||
- [https://github.com/punk-security/dnsReaper](https://github.com/punk-security/dnsReaper)
|
||
- [https://github.com/haccer/subjack](https://github.com/haccer/subjack)
|
||
- [https://github.com/anshumanbh/tko-sub](https://github.com/anshumanbh/tko-subs)
|
||
- [https://github.com/ArifulProtik/sub-domain-takeover](https://github.com/ArifulProtik/sub-domain-takeover)
|
||
- [https://github.com/SaadAhmedx/Subdomain-Takeover](https://github.com/SaadAhmedx/Subdomain-Takeover)
|
||
- [https://github.com/Ice3man543/SubOver](https://github.com/Ice3man543/SubOver)
|
||
- [https://github.com/m4ll0k/takeover](https://github.com/m4ll0k/takeover)
|
||
- [https://github.com/antichown/subdomain-takeover](https://github.com/antichown/subdomain-takeover)
|
||
- [https://github.com/musana/mx-takeover](https://github.com/musana/mx-takeover)
|
||
|
||
[BBOT](https://github.com/blacklanternsecurity/bbot)を使用してハイジャック可能なサブドメインをスキャンする:
|
||
```bash
|
||
bbot -t evilcorp.com -f subdomain-enum
|
||
```
|
||
### DNSワイルドカードを使用したサブドメイン乗っ取り
|
||
|
||
ドメインでDNSワイルドカードが使用されると、そのドメインのリクエストされたサブドメインのうち、明示的に異なるアドレスが指定されていないものは、**同じ情報に解決されます**。これはA IPアドレス、CNAMEなどである可能性があります。
|
||
|
||
例えば、`*.testing.com`が`1.1.1.1`にワイルドカード指定されている場合、`not-existent.testing.com`は`1.1.1.1`を指すことになります。
|
||
|
||
しかし、IPアドレスではなく、サードパーティーサービスをCNAME経由で指定する場合、たとえば**githubのサブドメイン**(`sohomdatta1.github.io`など)に指定する場合、攻撃者は自分のサードパーティーページ(この場合はGithub)を作成し、`something.testing.com`がそこを指すと主張することができます。**CNAMEワイルドカード**が攻撃者に同意するため、攻撃者は被害者のドメインのために**任意のサブドメインを自分のページを指すように生成**することができます。
|
||
|
||
この脆弱性の例は、CTFの解説で見つけることができます:[https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api](https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api)
|
||
|
||
## サブドメイン乗っ取りの悪用
|
||
|
||
サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの**透明性**により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のために[_typosquatting_](https://en.wikipedia.org/wiki/Typosquatting)や[_Doppelganger domains_](https://en.wikipedia.org/wiki/Doppelg%C3%A4nger)を利用することがあります。特に、フィッシングメールのURLが正当であるように見え、ドメインの信頼性によりユーザーを欺き、スパムフィルターを回避することができます。
|
||
|
||
詳細については、[この投稿を参照してください](https://0xpatrik.com/subdomain-takeover/)
|
||
|
||
### **SSL証明書**
|
||
攻撃者が[_Let's Encrypt_](https://letsencrypt.org/)などのサービスを介して生成したSSL証明書は、これらの偽のドメインの信頼性を高め、フィッシング攻撃をより説得力のあるものにします。
|
||
|
||
### **Cookieセキュリティとブラウザの透明性**
|
||
ブラウザの透明性は、[同一生成元ポリシー](https://en.wikipedia.org/wiki/Same-origin_policy)などのポリシーによって管理されるクッキーのセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、危険にさらされたサブドメインにユーザーを誘導することで、セッションクッキーを**収集**することができ、ユーザーデータやプライバシーを危険にさらすことができます。
|
||
|
||
### **メールとサブドメイン乗っ取り**
|
||
サブドメイン乗っ取りの別の側面には、メールサービスが含まれます。攻撃者は、MXレコードを操作して、正当なサブドメインからメールを受信または送信することができ、フィッシング攻撃の効果を高めることができます。
|
||
|
||
### **高次のリスク**
|
||
さらなるリスクには、**NSレコード乗っ取り**があります。攻撃者がドメインの1つのNSレコードを制御すると、トラフィックの一部を自分の管理下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL(生存時間)を高く設定すると、攻撃の期間が延長され、このリスクが増大します。
|
||
|
||
### CNAMEレコードの脆弱性
|
||
攻撃者は、使用されなくなった外部サービスを指す未使用のCNAMEレコードを悪用するかもしれません。これにより、信頼されたドメインの下にページを作成し、フィッシングやマルウェアの配布をさらに容易にすることができます。
|
||
|
||
### **緩和策**
|
||
緩和策には次のものがあります:
|
||
1. **脆弱なDNSレコードの削除** - サブドメインが不要になった場合に効果的です。
|
||
2. **ドメイン名の取得** - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することが含まれます。
|
||
3. **脆弱性の定期的な監視** - [aquatone](https://github.com/michenriksen/aquatone)などのツールを使用して、脆弱なドメインを特定することができます。組織はまた、DNSレコードの作成がリソース作成の最終段階であり、リソース破棄の最初の段階であることを確認するために、インフラ管理プロセスを見直す必要があります。
|
||
|
||
クラウドプロバイダーにとって、ドメイン所有権の検証はサブドメイン乗っ取りを防ぐために重要です。[GitLab](https://about.gitlab.com/2018/02/05/gitlab-pages-custom-domain-validation/)など、一部のプロバイダーはこの問題を認識し、ドメイン検証メカニズムを実装しています。
|
||
|
||
## 参考文献
|
||
* [https://0xpatrik.com/subdomain-takeover/](https://0xpatrik.com/subdomain-takeover/)
|
||
|
||
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
|
||
|
||
\
|
||
[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**できます。\
|
||
今すぐアクセス:
|
||
|
||
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
|
||
|
||
<details>
|
||
|
||
<summary><strong>**ゼロからヒーローまでのAWSハッキングを**学ぶ<a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE(HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
||
|
||
HackTricksをサポートする他の方法:
|
||
|
||
* **HackTricksで企業を宣伝**したい場合や**HackTricksをPDFでダウンロード**したい場合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしてください!
|
||
* [**公式PEASS&HackTricksのスウォッグ**](https://peass.creator-spring.com)を手に入れる
|
||
* 独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションである[**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見
|
||
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する。
|
||
* **HackTricks**と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks)のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
|
||
|
||
</details>
|