Самый быстрый захват поддомена и поиск неправильной конфигурации DNS
Этичный ХакерДанная статья является переводом и ведется со слов автора. Оригинал тут.
Привет всем! Это моя третья публикация в этом месяце, и сегодня я напишу о том, как мне удалось захватить несколько поддоменов организации, а также перенести зону DNS с помощью простого пассивного теста.
Захват поддомена происходит, когда злоумышленник получает контроль над поддоменом целевого домена. Обычно это происходит, когда поддомен имеет каноническое имя (CNAME) в системе доменных имен (DNS), но ни один хост не предоставляет для него содержимое, как в передаче зоны DNS. Если злоумышленник может выполнить передачу зоны с первичным или вторичным серверами имен для домена, он сможет просмотреть все записи DNS для этого домена.
Две критические ошибки обнаружены очень простым методом, поэтому, не теряя времени, перейдем к методологии.
Когда я выбрал цель, я просматривал целевой веб сайт и начал собирать информацию. Я начал просматривать информацию о DNS, проверил, что Nmap не нашел ни одного интересного порта для атаки, так как все порты были либо закрыты, либо отфильтрованы.
Затем я использовал dnsenum:
dnsenum xxxx.com
Я обнаружил, что могу просмотреть все записи DNS для этого домена, однако, сообщив об этом, я получил дубликат.
Продолжая тестирование, я начал собирать как можно больше поддоменов для приложения с помощью нескольких инструментов:
amass enum -d xxxx.com -o amass.txt assetfinder xxxx.com >> assetfinder.txt subfinder -d xxxx.com -o subfinder.txt findomain -t xxxx.com -q -u findomain.txt
Затем помещаю все собранные поддомены в один файл:
cat amass.txt assetfinder.txt subfinder.txt findomain.txt >> total.txt
Получив так много поддоменов, я использовал инструмент subzy, чтобы проверить, есть ли какой-либо поддомен, доступный для захвата.
Команда, которую я использовал, была:
subzy -targets total.txt
и у меня есть 2 поддомена, на которые организация не претендует, что означает, что злоумышленник может легко купить поддомен и использовать его в злых целях.
Я проверил их вручную, они не были зарегистрированы на основном домене
Сообщил об уязвимости, получил ответ, и, слава богу, дубликата больше не было.
Таким образом, я был признан ответственным исследователем безопасности в этой организации.
Совет: честно говоря, я не собирался проверять захват поддоменов, потому что думал, что мне не повезет так легко найти критическую ошибку, но, посмотрев на такое количество поддоменов, я сказал себе, что надо попробовать. Таким образом, я узнал, что если мы выполняем пентест, мы никогда не должны отказываться от шага, потому что мы не знаем, когда нам повезет.
Надеюсь, вы найдете мою статью информативной. Мира и удачной охоты.