Domain/Subdomain takeover

Reading time: 7 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

Domain takeover

यदि आप किसी डोमेन (domain.tld) का पता लगाते हैं जो किसी सेवा द्वारा उपयोग किया जा रहा है लेकिन कंपनी ने उसका स्वामित्व खो दिया है, तो आप इसे पंजीकृत करने की कोशिश कर सकते हैं (यदि यह सस्ता हो) और कंपनी को सूचित कर सकते हैं। यदि यह डोमेन कुछ संवेदनशील जानकारी प्राप्त कर रहा है जैसे कि एक सत्र कुकी GET पैरामीटर के माध्यम से या Referer हेडर में, तो यह निश्चित रूप से एक कमजोरी है।

Subdomain takeover

कंपनी का एक उपडोमेन एक तीसरे पक्ष की सेवा की ओर इशारा कर रहा है जिसका नाम पंजीकृत नहीं है। यदि आप इस तीसरे पक्ष की सेवा में खाता बनाने और उपयोग में हो रहे नाम को पंजीकृत कर सकते हैं, तो आप उपडोमेन टेकओवर कर सकते हैं।

संभावित टेकओवर की जांच के लिए कई उपकरण हैं जिनमें शब्दकोश होते हैं:

Subdomain Takeover Generation via DNS Wildcard

जब किसी डोमेन में DNS वाइल्डकार्ड का उपयोग किया जाता है, तो उस डोमेन का कोई भी अनुरोधित उपडोमेन जो स्पष्ट रूप से एक अलग पते पर नहीं है, एक ही जानकारी पर हल किया जाएगा। यह एक A आईपी पता, एक CNAME हो सकता है...

उदाहरण के लिए, यदि *.testing.com को 1.1.1.1 पर वाइल्डकार्ड किया गया है। तब, not-existent.testing.com 1.1.1.1 की ओर इशारा करेगा।

हालांकि, यदि आईपी पते की ओर इशारा करने के बजाय, सिस्टम प्रशासक इसे CNAME के माध्यम से एक तीसरे पक्ष की सेवा की ओर इशारा करता है, जैसे कि एक Github उपडोमेन उदाहरण के लिए (sohomdatta1.github.io)। एक हमलावर अपना खुद का तीसरा पक्ष का पृष्ठ (इस मामले में Gihub में) बना सकता है और कह सकता है कि something.testing.com वहां इशारा कर रहा है। क्योंकि, CNAME वाइल्डकार्ड सहमत होगा कि हमलावर अपने पृष्ठों की ओर इशारा करने वाले पीड़ित के डोमेन के लिए मनमाने उपडोमेन उत्पन्न करने में सक्षम होगा

आप इस कमजोरी का एक उदाहरण CTF लेखन में पा सकते हैं: https://ctf.zeyu2001.com/2022/nitectf-2022/undocumented-js-api

Exploiting a subdomain takeover

उपडोमेन टेकओवर मूल रूप से इंटरनेट पर एक विशिष्ट डोमेन के लिए DNS धोखाधड़ी है, जिससे हमलावरों को एक डोमेन के लिए A रिकॉर्ड सेट करने की अनुमति मिलती है, जिससे ब्राउज़र हमलावर के सर्वर से सामग्री प्रदर्शित करते हैं। यह पारदर्शिता ब्राउज़रों में डोमेन को फ़िशिंग के प्रति संवेदनशील बनाती है। हमलावर typosquatting या Doppelganger domains का उपयोग कर सकते हैं। विशेष रूप से संवेदनशील वे डोमेन हैं जहां फ़िशिंग ईमेल में URL वैध प्रतीत होता है, उपयोगकर्ताओं को धोखा देता है और डोमेन की अंतर्निहित विश्वसनीयता के कारण स्पैम फ़िल्टर से बचता है।

इस पोस्ट को आगे की जानकारी के लिए देखें

SSL Certificates

SSL प्रमाणपत्र, यदि हमलावरों द्वारा Let's Encrypt जैसी सेवाओं के माध्यम से उत्पन्न किए जाते हैं, तो इन नकली डोमेन की वैधता को बढ़ाते हैं, जिससे फ़िशिंग हमलों को और अधिक विश्वसनीय बनाया जा सकता है।

ब्राउज़र की पारदर्शिता कुकी सुरक्षा तक भी फैली हुई है, जिसे Same-origin policy जैसी नीतियों द्वारा नियंत्रित किया जाता है। कुकीज़, जो अक्सर सत्रों का प्रबंधन करने और लॉगिन टोकन को स्टोर करने के लिए उपयोग की जाती हैं, उपडोमेन टेकओवर के माध्यम से शोषित की जा सकती हैं। हमलावर सत्र कुकीज़ को केवल उपयोगकर्ताओं को एक समझौता किए गए उपडोमेन पर निर्देशित करके इकट्ठा कर सकते हैं, जिससे उपयोगकर्ता डेटा और गोपनीयता को खतरा होता है।

CORS Bypass

यह संभव हो सकता है कि हर उपडोमेन को मुख्य डोमेन या अन्य उपडोमेन से CORS संसाधनों तक पहुंचने की अनुमति हो। इसका उपयोग एक हमलावर द्वारा संवेदनशील जानकारी तक पहुंचने के लिए CORS अनुरोधों का दुरुपयोग करने के लिए किया जा सकता है।

CSRF - Same-Site Cookies bypass

यह संभव हो सकता है कि उपडोमेन को डोमेन या अन्य उपडोमेन को कुकीज़ भेजने की अनुमति हो, जिसे कुकीज़ के Same-Site विशेषता द्वारा रोका गया था। हालाँकि, ध्यान दें कि एंटी-CSRF टोकन अभी भी इस हमले को रोकेंगे यदि उन्हें सही तरीके से लागू किया गया हो।

OAuth tokens redirect

यह संभव हो सकता है कि समझौता किया गया उपडोमेन OAuth प्रवाह के redirect_uri URL में उपयोग करने की अनुमति हो। इसका उपयोग एक हमलावर द्वारा OAuth टोकन चुराने के लिए किया जा सकता है।

CSP Bypass

यह संभव हो सकता है कि समझौता किया गया उपडोमेन (या हर उपडोमेन) को CSP के script-src के लिए उपयोग करने की अनुमति हो। इसका उपयोग एक हमलावर द्वारा दुष्ट स्क्रिप्टों को इंजेक्ट करने और संभावित XSS कमजोरियों का दुरुपयोग करने के लिए किया जा सकता है।

Emails and Subdomain Takeover

उपडोमेन टेकओवर का एक और पहलू ईमेल सेवाओं से संबंधित है। हमलावर MX रिकॉर्ड को हेरफेर कर सकते हैं ताकि वे एक वैध उपडोमेन से ईमेल प्राप्त या भेज सकें, जिससे फ़िशिंग हमलों की प्रभावशीलता बढ़ती है।

Higher Order Risks

अन्य जोखिमों में NS रिकॉर्ड टेकओवर शामिल हैं। यदि एक हमलावर किसी डोमेन के एक NS रिकॉर्ड पर नियंत्रण प्राप्त करता है, तो वे संभावित रूप से ट्रैफ़िक के एक हिस्से को अपने नियंत्रण में सर्वर की ओर निर्देशित कर सकते हैं। यदि हमलावर DNS रिकॉर्ड के लिए उच्च TTL (Time to Live) सेट करता है, तो यह जोखिम बढ़ जाता है, जिससे हमले की अवधि बढ़ जाती है।

CNAME Record Vulnerability

हमलावर उन अनक्लेम्ड CNAME रिकॉर्ड का शोषण कर सकते हैं जो अब उपयोग में नहीं हैं या जिन्हें बंद कर दिया गया है। इससे उन्हें विश्वसनीय डोमेन के तहत एक पृष्ठ बनाने की अनुमति मिलती है, जिससे फ़िशिंग या मैलवेयर वितरण को और बढ़ावा मिलता है।

Mitigation Strategies

कमजोरियों को कम करने की रणनीतियों में शामिल हैं:

  1. कमजोर DNS रिकॉर्ड को हटाना - यदि उपडोमेन अब आवश्यक नहीं है तो यह प्रभावी है।
  2. डोमेन नाम का दावा करना - संबंधित क्लाउड प्रदाता के साथ संसाधन को पंजीकृत करना या एक समाप्त डोमेन को फिर से खरीदना।
  3. कमजोरियों के लिए नियमित निगरानी - aquatone जैसे उपकरण संवेदनशील डोमेन की पहचान करने में मदद कर सकते हैं। संगठनों को अपनी अवसंरचना प्रबंधन प्रक्रियाओं की समीक्षा करनी चाहिए, यह सुनिश्चित करते हुए कि DNS रिकॉर्ड निर्माण संसाधन निर्माण में अंतिम कदम और संसाधन विनाश में पहला कदम है।

क्लाउड प्रदाताओं के लिए, डोमेन स्वामित्व की पुष्टि करना उपडोमेन टेकओवर को रोकने के लिए महत्वपूर्ण है। कुछ, जैसे कि GitLab, ने इस समस्या को पहचाना है और डोमेन सत्यापन तंत्र लागू किए हैं।

References

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें