Domain/Subdomain takeover

Zacznij od zera i stań się ekspertem od hakowania AWS dzięki htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną na HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Kup oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @carlospolopm.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

Użyj Trickest, aby łatwo tworzyć i automatyzować przepływy pracy przy użyciu najbardziej zaawansowanych narzędzi społecznościowych na świecie. Zdobądź dostęp już dziś:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Przejęcie domeny

Jeśli odkryjesz, że pewna domena (domena.tld) jest używana przez jakąś usługę w zakresie, ale firma straciła nad nią własność, możesz spróbować ją zarejestrować (jeśli jest wystarczająco tania) i poinformować o tym firmę. Jeśli ta domena otrzymuje jakieś wrażliwe informacje, takie jak ciasteczko sesji za pomocą parametru GET lub w nagłówku Referer, jest to z pewnością luka.

Przejęcie poddomeny

Poddomena firmy wskazuje na usługę osób trzecich o niezarejestrowanej nazwie. Jeśli możesz utworzyć konto w tej usłudze osób trzecich i zarejestrować nazwę, która jest w użyciu, możesz dokonać przejęcia poddomeny.

Istnieje kilka narzędzi z słownikami do sprawdzania możliwych przejęć:

Skanowanie podatnych na przejęcie poddomen za pomocą BBOT:

Sprawdzenia podatności na przejęcie poddomeny są zawarte w domyślnym wyliczaniu poddomen BBOT. Sygnatury są pobierane bezpośrednio z https://github.com/EdOverflow/can-i-take-over-xyz.

bbot -t evilcorp.com -f subdomain-enum

Generowanie przejęcia subdomeny poprzez dziką kartę DNS

Kiedy używana jest dzika karta DNS w domenie, każda żądana subdomena tej domeny, która nie ma wyraźnie innego adresu, będzie rozwiązana do tych samych informacji. Może to być adres IP A, CNAME...

Na przykład, jeśli *.testing.com jest przypisany do 1.1.1.1. Wtedy not-existent.testing.com będzie wskazywać na 1.1.1.1.

Jednakże, jeśli zamiast wskazywać na adres IP, administrator systemu wskaże to do usługi osób trzecich poprzez CNAME, jak na przykład subdomenę githuba (sohomdatta1.github.io). Atakujący mógłby utworzyć swoją własną stronę osób trzecich (w tym przypadku w Gihubie) i powiedzieć, że something.testing.com wskazuje tam. Ponieważ dzika karta CNAME zgodzi się, atakujący będzie mógł generować dowolne subdomeny dla domeny ofiary wskazujące na swoje strony.

Przykład tej podatności można znaleźć w opisie CTF: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Wykorzystanie przejęcia subdomeny

Przejęcie subdomeny to w zasadzie podszywanie się DNS dla konkretnej domeny w Internecie, pozwalające atakującym ustawić rekordy A dla domeny, co prowadzi do wyświetlania przez przeglądarki treści z serwera atakującego. Ta transparentność w przeglądarkach sprawia, że domeny są podatne na phishing. Atakujący mogą wykorzystać typosquatting lub Doppelganger domains w tym celu. Szczególnie podatne są domeny, w których adres URL w wiadomości phishingowej wydaje się wiarygodny, wprowadzając w błąd użytkowników i unikając filtrów antyspamowych ze względu na inherentne zaufanie do domeny.

Sprawdź ten post dla dalszych szczegółów

Certyfikaty SSL

Certyfikaty SSL, jeśli generowane przez atakujących poprzez usługi takie jak Let's Encrypt, dodają wiarygodności tym fałszywym domenom, sprawiając, że ataki phishingowe są bardziej przekonujące.

Transparentność przeglądarki dotyczy również bezpieczeństwa plików cookie, regulowanego przez zasady takie jak Polityka tego samego pochodzenia. Pliki cookie, często używane do zarządzania sesjami i przechowywania tokenów logowania, mogą być wykorzystane poprzez przejęcie subdomeny. Atakujący mogą zbierać pliki cookie sesji po prostu kierując użytkowników do skompromitowanej subdomeny, zagrażając danym użytkowników i prywatności.

Emaile i przejęcie subdomeny

Inny aspekt przejęcia subdomeny dotyczy usług e-mail. Atakujący mogą manipulować rekordami MX w celu odbierania lub wysyłania e-maili z wiarygodnej subdomeny, zwiększając skuteczność ataków phishingowych.

Wyższe ryzyka

Dodatkowe ryzyka obejmują przejęcie rekordów NS. Jeśli atakujący uzyska kontrolę nad jednym rekordem NS domeny, potencjalnie może skierować część ruchu na serwer pod swoją kontrolą. To ryzyko jest wzmacniane, jeśli atakujący ustawia wysoki TTL (czas życia) dla rekordów DNS, przedłużając czas trwania ataku.

Podatność rekordów CNAME

Atakujący mogą wykorzystać nieprzydzielone rekordy CNAME wskazujące na zewnętrzne usługi, które nie są już używane lub zostały wycofane. Pozwala to im utworzyć stronę pod zaufaną domeną, ułatwiając dalsze działania phishingowe lub dystrybucję złośliwego oprogramowania.

Strategie łagodzenia

Strategie łagodzenia obejmują:

Usunięcie podatnych rekordów DNS - Jest to skuteczne, jeśli subdomena nie jest już wymagana.
Zarejestrowanie nazwy domeny - Zarejestrowanie zasobu u dostawcy chmury lub ponowne zakupienie wygasłej domeny.
Regularne monitorowanie pod kątem podatności - Narzędzia takie jak aquatone mogą pomóc zidentyfikować podatne domeny. Organizacje powinny również przejrzeć swoje procesy zarządzania infrastrukturą, zapewniając, że tworzenie rekordów DNS jest ostatnim krokiem w tworzeniu zasobu i pierwszym krokiem w jego usunięciu.

Dla dostawców chmury weryfikacja własności domeny jest kluczowa dla zapobieżenia przejęciom subdomen. Niektóre z nich, jak GitLab, zdały sobie sprawę z tego problemu i wdrożyły mechanizmy weryfikacji domeny.

Referencje

https://0xpatrik.com/subdomain-takeover/

Użyj Trickest, aby łatwo tworzyć i automatyzować workflowy zasilane przez najbardziej zaawansowane narzędzia społeczności na świecie. Otrzymaj dostęp już dziś: