subdomain takeover

子域名劫持/接管

• 本文内容包括
  • 漏洞实例
  • 实例分析
  • 漏洞原理
  • 漏洞危害
  • 测试工具
  • 防御方案

漏洞实例 - 有趣的测试

声明下：已知情的测试，白帽师傅wAnyBug已于2019年3月份报告给其官方SRC 且没有做任何违规的事情！

某日，刚加上白帽师傅@wAnyBug，聊天过程可谓步步惊魂（聊天内容为点击两个url）

猜测：看到是子域名，初步感觉子域名learnt.Micro**.Com被劫持(接管)。

确认：Chrome隐身模式下访问 learnt.Micro**.Com 看到了非 微X 的内容，大致可确认是子域名劫持(接管)。

猜测：此时如果我登录相关服务"out" 并访问该子域名learnt.Micro.Com，很可能cookie不保。

确认：后来发现 微X 的登录设计为SSO(单点登录,Single Sign On)，即 微X 服务统一在login..com登录。所以可以肯定，如果我登录相关服务"out"并访问该子域名learnt.Micro**.Com，则cookie可被web后端获取。

实例分析

查询该子域名的dns记录

➜  ~ nslookup learnt.Micro****.Com
Non-authoritative answer:
learnt.Micro****.Com canonical name = ldlearntest.trafficmanager.net.
ldlearntest.trafficmanager.net canonical name = subdomain-takeover-msrc.wanybug.Com.
Name: subdomain-takeover-msrc.wanybug.Com
Address: 47.52.101.203

可以得出：

• learnt.Micro**.Com CNAME ldlearntest.trafficmanager.net
• ldlearntest.trafficmanager.net CNAME subdomain-takeover-msrc.wanybug.Com

由此可以判断出 白帽师傅@wAnyBug 注册了ldlearntest.trafficmanager.net (随后确认确实如此)