HackTricksDomein/Subdomein oorneem
Reading time: 6 minutes
tip
Leer & oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Domein oorneem
As jy 'n domein (domain.tld) ontdek wat gebruik word deur 'n diens binne die omvang maar die maatskappy het die besit daarvan verloor, kan jy probeer om dit te registreer (as dit goedkoop genoeg is) en die maatskappy laat weet. As hierdie domein 'n paar sensitiewe inligting ontvang soos 'n sessie koekie via GET parameter of in die Referer kop, is dit beslis 'n kwesbaarheid.
Subdomein oorneem
'n Subdomein van die maatskappy wys na 'n derdeparty diens met 'n naam wat nie geregistreer is nie. As jy 'n rekening in hierdie derdeparty diens kan skep en die naam wat in gebruik is kan registreer, kan jy die subdomein oorneem.
Daar is verskeie gereedskap met woordeboeke om moontlike oorneems te kontroleer:
- https://github.com/EdOverflow/can-i-take-over-xyz
- https://github.com/blacklanternsecurity/bbot
- https://github.com/punk-security/dnsReaper
- https://github.com/haccer/subjack
- https://github.com/anshumanbh/tko-sub
- https://github.com/ArifulProtik/sub-domain-takeover
- https://github.com/SaadAhmedx/Subdomain-Takeover
- https://github.com/Ice3man543/SubOver
- https://github.com/antichown/subdomain-takeover
- https://github.com/musana/mx-takeover
- https://github.com/PentestPad/subzy
- https://github.com/Stratus-Security/Subdominator
- https://github.com/NImaism/takeit
Subdomein Oorneem Generasie via DNS Wildcard
Wanneer DNS wildcard in 'n domein gebruik word, sal enige aangevraagde subdomein van daardie domein wat nie 'n ander adres het nie, opgelos word na dieselfde inligting. Dit kan 'n A IP adres, 'n CNAME...
Byvoorbeeld, as *.testing.com gewild is na 1.1.1.1. Dan sal not-existent.testing.com na 1.1.1.1 wys.
As die stelselinvoerder egter dit na 'n derdeparty diens via CNAME wys, soos 'n Github subdomein byvoorbeeld (sohomdatta1.github.io). 'n Aanvaller kan sy eie derdeparty bladsy skep (in Gihub in hierdie geval) en sê dat something.testing.com daarheen wys. Omdat die CNAME wildcard sal saamstem, sal die aanvaller in staat wees om arbitraire subdomeine vir die domein van die slagoffer te genereer wat na sy bladsye wys.
Jy kan 'n voorbeeld van hierdie kwesbaarheid in die CTF skrywe vind: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api
Exploiteer 'n subdomein oorneem
Subdomein oorneem is essensieel DNS spoofing vir 'n spesifieke domein oor die internet, wat aanvallers toelaat om A rekords vir 'n domein in te stel, wat blaaiers lei om inhoud van die aanvaller se bediener te vertoon. Hierdie deursigtigheid in blaaiers maak domeine geneig tot phishing. Aanvallers mag typosquatting of Doppelganger domeine vir hierdie doel gebruik. Veral kwesbaar is domeine waar die URL in 'n phishing e-pos legitiem lyk, wat gebruikers mislei en spamfilters ontduik weens die domein se inherente vertroue.
Kontroleer hierdie plasing vir verdere besonderhede
SSL Sertifikate
SSL sertifikate, as dit deur aanvallers gegenereer word via dienste soos Let's Encrypt, voeg by tot die legitimiteit van hierdie vals domeine, wat phishing-aanvalle meer oortuigend maak.
Koekie Sekuriteit en Blaaier Deursigtigheid
Blaaierdeursigtigheid strek ook na koekie sekuriteit, wat gereguleer word deur beleide soos die Same-origin policy. Koekies, wat dikwels gebruik word om sessies te bestuur en aanmeld tokens te stoor, kan deur subdomein oorneem uitgebuit word. Aanvallers kan sessie koekies versamel bloot deur gebruikers na 'n gecompromitteerde subdomein te lei, wat gebruikersdata en privaatheid in gevaar stel.
E-pos en Subdomein Oorneem
Nog 'n aspek van subdomein oorneem behels e-posdienste. Aanvallers kan MX rekords manipuleer om e-posse van 'n legitieme subdomein te ontvang of te stuur, wat die doeltreffendheid van phishing-aanvalle verbeter.
Hoër Orde Risiko's
Verder risiko's sluit NS rekord oorneem in. As 'n aanvaller beheer oor een NS rekord van 'n domein verkry, kan hulle potensieel 'n gedeelte van die verkeer na 'n bediener onder hul beheer lei. Hierdie risiko word versterk as die aanvaller 'n hoë TTL (Time to Live) vir DNS rekords stel, wat die duur van die aanval verleng.
CNAME Rekord Kwesbaarheid
Aanvallers mag onopgeëiste CNAME rekords wat na eksterne dienste wys wat nie meer gebruik word of afgeskakel is nie, uitbuit. Dit stel hulle in staat om 'n bladsy onder die vertroude domein te skep, wat phishing of malware verspreiding verder fasiliteer.
Mitigering Strategieë
Mitigering strategieë sluit in:
- Verwydering van kwesbare DNS rekords - Dit is effektief as die subdomein nie meer benodig word nie.
- Eise van die domeinnaam - Registreer die hulpbron by die betrokke wolkverskaffer of heraankoop 'n vervalde domein.
- Gereelde monitering vir kwesbaarhede - Gereedskap soos aquatone kan help om kwesbare domeine te identifiseer. Organisasies moet ook hul infrastruktuur bestuur proses hersien, om te verseker dat DNS rekord skepping die finale stap in hulpbron skepping en die eerste stap in hulpbron vernietiging is.
Vir wolkverskaffers is dit belangrik om domeinbesit te verifieer om subdomein oorneems te voorkom. Sommige, soos GitLab, het hierdie probleem erken en domeinverifikasiesisteme geïmplementeer.
Verwysings
- https://0xpatrik.com/subdomain-takeover/
- https://www.stratussecurity.com/post/subdomain-takeover-guide
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.