如何接管戴尔的一个子域名

  • A+
所属分类:安全文章

最近在Dell上发现了一个子域接管

首先,我选择了赏金计划。然后,我从子域扫描开始。我使用subfinder扫描了所有子域。扫描完成,使用httpx探测了输出。我将活动子域和无效子域分开,然后通过检查子域接管开始研究。


什么是次要收购?


子域接管是p-[R登记的ocess不存在的域名通过另一域的增益控制。通常,当存在使用CNAME记录到另一个域(例如subdomain.example.com CNAME anotherdomain.com)的域名(例如subdomain.example.com)时。在某个时候,anotherdomain.com到期,任何人都可以注册。如果未从example.com DNS区域删除CNAME记录,则注册到anotherdomain.com的任何人都可以完全控制subdomain.example.com,直到出现DNS记录为止。


由于您对子域接管漏洞及其影响有了基本的了解,因此我们现在可以跳到如何找到子域接管以及如何找到它。


子域接管仅适用于死子域,因为当未删除的过期的子域的CNAME记录时,就会发生此缺陷。因此,我们可以忽略实时子域。我们需要检查每个失效的子域。我们可以手动执行此操作,也可以使用自动化实现该过程的脚本。


有两种方法


手动搜索接管

首先,我们需要查看每个无效子域及其CNAME记录。我们可以使用一个简单的命令来做到这一点:挖掘。您可以像以下方式使用它:

如何接管戴尔的一个子域名

挖掘结果



此命令的输出很重要,我们稍后将使用它。我们需要查看它们返回的响应。我们可以使用浏览器来完成此操作,但是有些工具可以对我们指定的子域进行截屏,例如aquatone。


由于我们可以看到无效子域的内容,因此我们需要查看子域是否返回自定义错误消息或其他内容。如果返回错误消息,我们将使用该错误消息以及在dig命令的输出中看到的anotherdomain.com(在这种情况下为herokuapp.com),并了解是否有可能接管子域。您可以使用can-i-take-over-xyz。


自动搜索收购

方法和过程相同,但是工具可以代替我们完成的所有过程。我使用了一种名为subjack的工具,该工具使用golang编写,而且速度非常快。可以从此处下载:subjack。

找到错误后,我跳到概念证明来编写和提交报告


POC(概念证明)


在搜索结果中找到带有Heroku应用程序的子域后,我访问了导致该页面转到以下错误页面的页面:


如何接管戴尔的一个子域名

Heroku错误消息


然后,我访问了can-i-take-xyz,查看引擎列,发现Heroku及其返回的错误消息“找不到应用程序”。这与死子域中的错误相同。

后来,我访问了Heroku引擎的官方网站,并试图接管该子域。我成功完成了


如何接管戴尔的一个子域名

概念证明


EDI安全

如何接管戴尔的一个子域名

扫二维码|关注我们

一个专注渗透实战经验分享的公众号

本文始发于微信公众号(EDI安全):如何接管戴尔的一个子域名

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: