Domein/Subdomein oorneem

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Domein oorneem

As jy ’n domein (domain.tld) ontdek wat gebruik word deur ’n diens binne die omvang maar die maatskappy het die besit daarvan verloor, kan jy probeer om dit te registreer (as dit goedkoop genoeg is) en die maatskappy laat weet. As hierdie domein ’n paar sensitiewe inligting ontvang soos ’n sessie koekie via GET parameter of in die Referer kop, is dit beslis ’n kwesbaarheid.

Subdomein oorneem

’n Subdomein van die maatskappy wys na ’n derdeparty diens met ’n naam wat nie geregistreer is nie. As jy ’n rekening in hierdie derdeparty diens kan skep en die naam wat in gebruik is kan registreer, kan jy die subdomein oorneem.

Daar is verskeie gereedskap met woordeboeke om moontlike oornames te kontroleer:

• https://github.com/EdOverflow/can-i-take-over-xyz
• https://github.com/blacklanternsecurity/bbot
• https://github.com/punk-security/dnsReaper
• https://github.com/haccer/subjack
• https://github.com/anshumanbh/tko-sub
• https://github.com/ArifulProtik/sub-domain-takeover
• https://github.com/SaadAhmedx/Subdomain-Takeover
• https://github.com/Ice3man543/SubOver
• https://github.com/antichown/subdomain-takeover
• https://github.com/musana/mx-takeover
• https://github.com/PentestPad/subzy
• https://github.com/Stratus-Security/Subdominator
• https://github.com/NImaism/takeit

Subdomein Oorneem Generasie via DNS Wildcard

Wanneer DNS wildcard in ’n domein gebruik word, sal enige aangevraagde subdomein van daardie domein wat nie ’n ander adres het nie, opgelos word na dieselfde inligting. Dit kan ’n A IP adres, ’n CNAME…

Byvoorbeeld, as *.testing.com gewild gemaak word na 1.1.1.1. Dan sal not-existent.testing.com na 1.1.1.1 wys.

As die stelselsadministrateur egter dit na ’n derdeparty diens via CNAME wys, soos ’n Github subdomein byvoorbeeld (sohomdatta1.github.io). ’n Aanvaller kan sy eie derdeparty bladsy skep (in Gihub in hierdie geval) en sê dat something.testing.com daarheen wys. Omdat die CNAME wildcard sal saamstem, sal die aanvaller in staat wees om arbitraire subdomeine vir die domein van die slagoffer te genereer wat na sy bladsye wys.

Jy kan ’n voorbeeld van hierdie kwesbaarheid in die CTF skrywe vind: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Exploiteer ’n subdomein oorneem

Subdomein oorneem is in wese DNS spoofing vir ’n spesifieke domein oor die internet, wat aanvallers toelaat om A rekords vir ’n domein in te stel, wat blaaiers lei om inhoud van die aanvaller se bediener te vertoon. Hierdie deursigtigheid in blaaiers maak domeine geneig tot phishing. Aanvallers mag typosquatting of Doppelganger domeine vir hierdie doel gebruik. Veral kwesbaar is domeine waar die URL in ’n phishing e-pos legitiem lyk, wat gebruikers mislei en spamfilters ontduik weens die domein se inherente vertroue.

Kyk na hierdie plasing vir verdere besonderhede

SSL Sertifikate

SSL sertifikate, as dit deur aanvallers gegenereer word via dienste soos Let’s Encrypt, voeg by tot die legitimiteit van hierdie vals domeine, wat phishing-aanvalle meer oortuigend maak.

Koekie Sekuriteit en Blaaier Deursigtigheid

Blaaier deursigtigheid strek ook na koekie sekuriteit, wat gereguleer word deur beleide soos die Same-origin policy. Koekies, wat dikwels gebruik word om sessies te bestuur en aanmeld tokens te stoor, kan deur subdomein oorneem uitgebuit word. Aanvallers kan sessie koekies versamel bloot deur gebruikers na ’n gecompromitteerde subdomein te lei, wat gebruikersdata en privaatheid in gevaar stel.

CORS Bypass

Dit mag moontlik wees dat elke subdomein toegelaat word om CORS hulpbronne van die hoofdomein of ander subdomeine te benader. Dit kan deur ’n aanvaller uitgebuit word om sensitiewe inligting te bekom deur CORS versoeke te misbruik.

CSRF - Same-Site Koekies bypass

Dit mag moontlik wees dat die subdomein toegelaat word om koekies na die domein of ander subdomeine te stuur wat deur die Same-Site attribuut van die koekies verhoed is. Let egter daarop dat anti-CSRF tokens steeds hierdie aanval sal voorkom as hulle behoorlik geïmplementeer is.

OAuth tokens herlei

Dit mag moontlik wees dat die gecompromitteerde subdomein toegelaat word om gebruik te word in die redirect_uri URL van ’n OAuth vloei. Dit kan deur ’n aanvaller uitgebuit word om die OAuth token te steel.

CSP Bypass

Dit mag moontlik wees dat die gecompromitteerde subdomein (of elke subdomein) toegelaat word om byvoorbeeld die script-src van die CSP te gebruik. Dit kan deur ’n aanvaller uitgebuit word om kwaadwillige skripte in te voeg en potensiële XSS kwesbaarhede te misbruik.

E-pos en Subdomein Oorneem

’n Ander aspek van subdomein oorneem behels e-posdienste. Aanvallers kan MX rekords manipuleer om e-posse van ’n legitieme subdomein te ontvang of te stuur, wat die doeltreffendheid van phishing-aanvalle verbeter.

Hoër Orde Risiko’s

Verder risiko’s sluit NS rekord oorneem in. As ’n aanvaller beheer oor een NS rekord van ’n domein verkry, kan hulle potensieel ’n gedeelte van die verkeer na ’n bediener onder hul beheer lei. Hierdie risiko word versterk as die aanvaller ’n hoë TTL (Time to Live) vir DNS rekords stel, wat die duur van die aanval verleng.

CNAME Rekord Kwesbaarheid

Aanvallers mag onopgeëiste CNAME rekords wat na eksterne dienste wys wat nie meer gebruik word of afgeskakel is nie, uitbuit. Dit stel hulle in staat om ’n bladsy onder die vertroude domein te skep, wat phishing of malware verspreiding verder vergemaklik.

Mitigering Strategieë

Mitigering strategieë sluit in:

1. Verwydering van kwesbare DNS rekords - Dit is effektief as die subdomein nie meer benodig word nie.
2. Eise van die domeinnaam - Registreer die hulpbron by die betrokke wolkverskaffer of heraankoop ’n vervalde domein.
3. Gereelde monitering vir kwesbaarhede - Gereedskap soos aquatone kan help om kwesbare domeine te identifiseer. Organisasies moet ook hul infrastruktuur bestuur proses hersien, om te verseker dat die skepping van DNS rekords die finale stap in hulpbron skepping en die eerste stap in hulpbron vernietiging is.

Vir wolkverskaffers is dit van kardinale belang om domeinbesit te verifieer om subdomein oornames te voorkom. Sommige, soos GitLab, het hierdie probleem erken en domeinverifikasiemeganismes geïmplementeer.

Verwysings

• https://0xpatrik.com/subdomain-takeover/
• https://www.stratussecurity.com/post/subdomain-takeover-guide
• https://www.hackerone.com/blog/guide-subdomain-takeovers-20

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.