Zendesk域劫持

在hackerone上发现了这个案例，很优质

HackerOne众测计划 [将此目标称为 xyz.com] 而且这个目标范围有限。范围是—

• xyz.com

• admin.xyz.com

• api.xyz.com

子域admin.xyz.com看着很有价值，使用search.censys.io来查询下，使用admin*.xyz.com语句查找这个子域可能的测试或开发环境，结果如下面截图

快速查找所有列出的子域后，我发现了有关 admin-support.xyz.com 域的以下有价值的内容

• CNAME  admin-support.xyz.com 指向了 xyzdocs.zendesk.com

但测试访问 http://admin-support.xyz.com 和 http://xyzdocs .zendesk.com 都报错

很不幸运，在xyzdocs.zendesk.com的admin-support帮助中心似乎不存在了。

所以我刚刚创建了一个Zendesk帐户，并从https://xyzdocs.zendesk.com/admin/account/appearance/branding中主机映射字段中添加了admin-support.xyz.com域。这使我可以接管子域并在admin-support.xyz.com域上发布任何内容。

但是，这仍然不是目标众测的范围域，在此状态下报告这个问题只会是中危或被忽略。

因此，我开始研究 Zendesk 的配置及其 helo 文档，将传入电子邮件转发到 Zendesk的功能看起来非常有趣，因为这允许已经存在的电子邮件转发到Zendesk支持台。此设置的要求是：

• 在 Zendesk 中添加您的外部电子邮件地址，以便 Zendesk 可以验证该地址并将其显示在出站电子邮件中。

• 为现有电子邮件启用电子邮件转发，例如[email protected] 至 [email protected]

因此劫持开始了，在Zendesk管理中心=>频道=>通话和电子邮件=>电子邮件，并根据他们的文章进行了一些配置，还启用了“接受通配符电子邮件”选项，我们将查找目标<anything>@xyz.com转发设置指向Zendesk电子邮件<anythiny>@xyz docs.Zendesk.com的任何现有电子邮件。

当所有配置完成后，我测试用我自己电子邮件发送到xyz.com后缀的邮箱，比如[email protected]，[email protected]，[email protected]等

然后，[email protected] 的电子邮件转发已配置到我的 Zendesk URL，并在我的 Zendesk 帐户中创建了转发。

因此，任何发送至 [email protected] 的电子邮件都会在我的 Zendesk 帐户中创建支持票证，几个小时后，我的 Zendesk 帐户充斥着活跃用户的支持票证，其中包括付款信息、发票和用户机密数据等敏感信息。

我们可以看到来自 [email protected] 的传入电子邮件 让我们看看他们的登录面板是否有任何现有帐户使用，电子邮件请求他们的用户登录面板重置密码，其中包含密码重置链接

所以现在我们有：

完全控制https://admin-support.xyz.com子域内容。

可以查看、管理和回复通过[email protected]创建的所有有效支持票证。

可以查看[email protected]收到的电子邮件。

接管使用 [email protected] 电子邮件创建的任何帐户。

根据所有这些信息，我创建了一份有关他们的 Bug Bounty 计划的报告，在一个工作日内，他们获取了解决此问题所需的信息，并支付了 2,000 美元

原文始发于微信公众号（军机故阁）：Zendesk域劫持