Domain/Subdomain takeover

htARTE（HackTricks AWS Red Team Expert）を使って、ゼロからヒーローまでAWSハッキングを学びましょう！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksのグッズを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
**💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする
ハッキングテクニックを共有するには、 HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。今すぐアクセスを取得：

Automate OffSec, EASM, and Custom Security Processes | Trickest

ドメインの乗っ取り

スコープ内でサービスに使用されているドメイン（domain.tld）を発見した場合、企業が所有権を失っている可能性があります。このドメインを（安価であれば）登録して企業に通知することができます。このドメインがセッションクッキーなどの機密情報を受信している場合（GETパラメータやRefererヘッダー経由）、これは間違いなく脆弱性です。

サブドメインの乗っ取り

企業のサブドメインが登録されていない名前のサードパーティサービスを指している場合、このサードパーティサービスでアカウントを作成し、使用中の名前を登録することで、サブドメインの乗っ取りを行うことができます。

可能な乗っ取りをチェックするための辞書を持ついくつかのツールがあります：

BBOTを使用してハイジャック可能なサブドメインをスキャンする：

bbot -t evilcorp.com -f subdomain-enum

DNSワイルドカードを使用したサブドメイン乗っ取り

ドメインでDNSワイルドカードが使用されると、そのドメインのリクエストされたサブドメインのうち、明示的に異なるアドレスがないものは同じ情報に解決されます。これはA IPアドレス、CNAMEなどである可能性があります。

例えば、*.testing.comが1.1.1.1にワイルドカード指定されている場合、not-existent.testing.comは1.1.1.1を指すことになります。

しかし、IPアドレスを指定する代わりに、システム管理者がCNAME経由でサードパーティーサービス（たとえばgithubサブドメイン）にポイントした場合、攻撃者は自分のサードパーティーページ（この場合はGihub）を作成し、something.testing.comがそこを指すと主張することができます。CNAMEワイルドカードが同意すれば、攻撃者は被害者のドメインのために自分のページを指す任意のサブドメインを生成することができます。

この脆弱性の例は、CTFの解説で見つけることができます：https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

サブドメイン乗っ取りの悪用

サブドメイン乗っ取りは、インターネット全体の特定のドメインに対するDNSスプーフィングであり、攻撃者がドメインのAレコードを設定し、ブラウザが攻撃者のサーバーからコンテンツを表示するようにするものです。ブラウザの透明性により、ドメインはフィッシング攻撃の標的となります。攻撃者は、この目的のためにtyposquattingやDoppelganger domainsを利用することがあります。特に、フィッシングメールのURLが正当であるように見え、ドメインの信頼性によりユーザーを欺いてスパムフィルターを回避するドメインは脆弱です。

詳細については、この投稿を参照してください

SSL証明書

攻撃者がLet's Encryptなどのサービスを介して生成したSSL証明書は、これらの偽のドメインの信憑性を高め、フィッシング攻撃をより説得力のあるものにします。

Cookieセキュリティとブラウザの透明性

ブラウザの透明性は、Same-origin policyなどのポリシーによって管理されるクッキーセキュリティにも適用されます。セッションの管理やログイントークンの保存によく使用されるクッキーは、サブドメイン乗っ取りを通じて悪用される可能性があります。攻撃者は、危険を冒してユーザーをコンプロマイズしたサブドメインに誘導することで、セッションクッキーを収集することができ、ユーザーデータとプライバシーを危険にさらすことになります。

メールとサブドメイン乗っ取り

サブドメイン乗っ取りの別の側面には、メールサービスが含まれます。攻撃者はMXレコードを操作して、正当なサブドメインからメールを受信または送信することができ、フィッシング攻撃の効果を高めることができます。

高次のリスク

さらなるリスクには、NSレコード乗っ取りがあります。攻撃者がドメインの1つのNSレコードを制御すると、トラフィックの一部を自分の制御下のサーバーに向ける可能性があります。攻撃者がDNSレコードのTTL（Time to Live）を高く設定すると、攻撃の期間が延長されるため、このリスクは増幅されます。

CNAMEレコードの脆弱性

攻撃者は、使用されなくなった外部サービスを指す未使用のCNAMEレコードを悪用するかもしれません。これにより、信頼されたドメインの下にページを作成することができ、フィッシングやマルウェアの配布をさらに容易にします。

緩和策

緩和策には次のものがあります：

脆弱なDNSレコードの削除 - サブドメインが不要になった場合に効果的です。
ドメイン名の取得 - 対応するクラウドプロバイダーでリソースを登録するか、期限切れのドメインを再購入することが含まれます。
脆弱性の定期的な監視 - aquatoneなどのツールを使用して、脆弱なドメインを特定することができます。組織はまた、DNSレコードの作成がリソース作成の最終段階であり、リソースの破棄の最初の段階であることを確認するために、インフラ管理プロセスを見直す必要があります。

クラウドプロバイダーにとって、ドメイン所有権の検証はサブドメイン乗っ取りを防ぐために重要です。GitLabなどの一部は、この問題を認識し、ドメイン検証メカニズムを実装しています。

参考文献

https://0xpatrik.com/subdomain-takeover/

Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。今すぐアクセスしてください：

Automate OffSec, EASM, and Custom Security Processes | Trickest

**htARTE（HackTricks AWS Red Team Expert）**で**ゼロからヒーローまでのAWSハッキング**を学びましょう！

HackTricksをサポートする他の方法：HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！公式PEASS＆HackTricksスワッグを入手してくださいThe PEASS Familyを発見し、独占的なNFTsコレクションを見つけてください💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローしてください。HackTricksとHackTricks CloudのgithubリポジトリにPRを提出することで、あなたのハッキングトリックを共有してください。

PreviousJNDI - Java Naming and Directory Interface & Log4Shell NextEmail Injections

Last updated 3 days ago