Domain/Subdomain takeover
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:
Ako otkrijete neku domenu (domain.tld) koja se koristi od strane neke usluge unutar opsega ali je kompanija izgubila vlasništvo nad njom, možete pokušati da je registrujete (ako je dovoljno jeftina) i obavestite kompaniju. Ako ova domena prima neku osetljivu informaciju poput sesijskog kolačića putem GET parametra ili u Referer headeru, to je sigurno ranjivost.
Subdomena kompanije pokazuje na uslugu treće strane sa imenom koje nije registrovano. Ako možete napraviti nalog u ovoj usluzi treće strane i registrujete ime koje se koristi, možete izvršiti preuzimanje subdomena.
Postoji nekoliko alata sa rečnicima za proveru mogućih preuzimanja:
Kada se koristi DNS wildcard u domeni, svaka tražena subdomena te domene koja nema drugačiju adresu eksplicitno će biti rešena na iste informacije. Ovo može biti A IP adresa, CNAME...
Na primer, ako je *.testing.com
wildcard-ovana na 1.1.1.1
. Tada će not-existent.testing.com
pokazivati na 1.1.1.1
.
Međutim, ako umesto da pokazuje na IP adresu, sistem administrator pokazuje na uslugu treće strane putem CNAME, kao što je Github subdomena na primer (sohomdatta1.github.io
). Napadač može napraviti svoju stranicu treće strane (u Gihubu u ovom slučaju) i reći da something.testing.com
pokazuje tamo. Zato, CNAME wildcard će omogućiti napadaču da generiše proizvoljne subdomene za domenu žrtve koje pokazuju na njegove stranice.
Možete pronaći primer ove ranjivosti u CTF izveštaju: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api
Preuzimanje subdomena je suštinski DNS spoofing za specifičnu domenu širom interneta, omogućavajući napadačima da postave A zapise za domenu, što dovodi do toga da pregledači prikazuju sadržaj sa napadačevog servera. Ova transparentnost u pregledačima čini domene podložnim phishing-u. Napadači mogu koristiti typosquatting ili Doppelganger domene u tu svrhu. Posebno su ranjive domene gde URL u phishing e-mailu izgleda legitimno, obmanjujući korisnike i izbegavajući spam filtere zbog inherentnog poverenja domene.
Proverite ovaj post za dalje detalje
SSL sertifikati, ako ih generišu napadači putem usluga poput Let's Encrypt, dodaju legitimitet ovim lažnim domenama, čineći phishing napade uverljivijim.
Transparentnost pregledača se takođe proteže na bezbednost kolačića, kojom upravljaju politike poput Same-origin policy. Kolačići, koji se često koriste za upravljanje sesijama i čuvanje tokena za prijavu, mogu biti iskorišćeni putem preuzimanja subdomena. Napadači mogu prikupiti sesijske kolačiće jednostavno usmeravajući korisnike na kompromitovanu subdomenu, ugrožavajući podatke i privatnost korisnika.
Još jedan aspekt preuzimanja subdomena uključuje e-mail usluge. Napadači mogu manipulisati MX zapisima da prime ili pošalju e-mailove sa legitimne subdomene, povećavajući efikasnost phishing napada.
Dalji rizici uključuju preuzimanje NS zapisa. Ako napadač dobije kontrolu nad jednim NS zapisom domene, može potencijalno usmeriti deo saobraćaja na server pod svojom kontrolom. Ovaj rizik se pojačava ako napadač postavi visoki TTL (Time to Live) za DNS zapise, produžavajući trajanje napada.
Napadači bi mogli iskoristiti neizdane CNAME zapise koji pokazuju na spoljne usluge koje se više ne koriste ili su ukinute. Ovo im omogućava da kreiraju stranicu pod poverenom domenom, dodatno olakšavajući phishing ili distribuciju malvera.
Strategije ublažavanja uključuju:
Uklanjanje ranjivih DNS zapisa - Ovo je efikasno ako subdomena više nije potrebna.
Pribavljanje imena domene - Registracija resursa kod odgovarajućeg provajdera u oblaku ili ponovna kupovina iste domene koja je istekla.
Redovno praćenje ranjivosti - Alati poput aquatone mogu pomoći u identifikaciji podložnih domena. Organizacije bi takođe trebale revidirati svoje procese upravljanja infrastrukturom, osiguravajući da kreiranje DNS zapisa bude poslednji korak u kreiranju resursa i prvi korak u uništavanju resursa.
Za provajdere u oblaku, verifikacija vlasništva nad domenom je ključna za sprečavanje preuzimanja subdomena. Neki, poput GitLab, su prepoznali ovaj problem i implementirali mehanizme verifikacije domena.
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)