最近在Dell上发现了一个子域接管
首先,我选择了赏金计划。然后,我从子域扫描开始。我使用subfinder扫描了所有子域。扫描完成,使用httpx探测了输出。我将活动子域和无效子域分开,然后通过检查子域接管开始研究。
子域接管是p-[R登记的ocess不存在的域名通过另一域的增益控制。通常,当存在使用CNAME记录到另一个域(例如subdomain.example.com CNAME anotherdomain.com)的域名(例如subdomain.example.com)时。在某个时候,anotherdomain.com到期,任何人都可以注册。如果未从example.com DNS区域删除CNAME记录,则注册到anotherdomain.com的任何人都可以完全控制subdomain.example.com,直到出现DNS记录为止。
由于您对子域接管漏洞及其影响有了基本的了解,因此我们现在可以跳到如何找到子域接管以及如何找到它。
子域接管仅适用于死子域,因为当未删除的过期的子域的CNAME记录时,就会发生此缺陷。因此,我们可以忽略实时子域。我们需要检查每个失效的子域。我们可以手动执行此操作,也可以使用自动化实现该过程的脚本。
手动搜索接管
首先,我们需要查看每个无效子域及其CNAME记录。我们可以使用一个简单的命令来做到这一点:挖掘。您可以像以下方式使用它:
挖掘结果
此命令的输出很重要,我们稍后将使用它。我们需要查看它们返回的响应。我们可以使用浏览器来完成此操作,但是有些工具可以对我们指定的子域进行截屏,例如aquatone。
由于我们可以看到无效子域的内容,因此我们需要查看子域是否返回自定义错误消息或其他内容。如果返回错误消息,我们将使用该错误消息以及在dig命令的输出中看到的anotherdomain.com(在这种情况下为herokuapp.com),并了解是否有可能接管子域。您可以使用can-i-take-over-xyz。
自动搜索收购
方法和过程相同,但是工具可以代替我们完成的所有过程。我使用了一种名为subjack的工具,该工具使用golang编写,而且速度非常快。可以从此处下载:subjack。
找到错误后,我跳到概念证明来编写和提交报告
POC(概念证明)
在搜索结果中找到带有Heroku应用程序的子域后,我访问了导致该页面转到以下错误页面的页面:
Heroku错误消息
然后,我访问了can-i-take-xyz,查看引擎列,发现Heroku及其返回的错误消息“找不到应用程序”。这与死子域中的错误相同。
后来,我访问了Heroku引擎的官方网站,并试图接管该子域。我成功完成了
概念证明
EDI安全
扫二维码|关注我们
一个专注渗透实战经验分享的公众号
本文始发于微信公众号(EDI安全):如何接管戴尔的一个子域名
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论