subdomain takeover

子域名劫持/接管

  • 本文内容包括
    • 漏洞实例
    • 实例分析
    • 漏洞原理
    • 漏洞危害
    • 测试工具
    • 防御方案

漏洞实例 - 有趣的测试

声明下:已知情的测试,白帽师傅wAnyBug已于2019年3月份报告给其官方SRC 且没有做任何违规的事情!

某日,刚加上白帽师傅@wAnyBug,聊天过程可谓步步惊魂(聊天内容为点击两个url)

猜测:看到是子域名,初步感觉子域名learnt.Micro**.Com被劫持(接管)。

确认:Chrome隐身模式下访问 learnt.Micro**.Com 看到了非 微X 的内容,大致可确认是子域名劫持(接管)。

猜测:此时如果我登录相关服务"out" 并访问该子域名learnt.Micro.Com,很可能cookie不保。

确认:后来发现 微X 的登录设计为SSO(单点登录,Single Sign On),即 微X 服务统一在login..com登录。所以可以肯定,如果我登录相关服务"out"并访问该子域名learnt.Micro**.Com,则cookie可被web后端获取。

实例分析

查询该子域名的dns记录

➜  ~ nslookup learnt.Micro****.Com
Non-authoritative answer:
learnt.Micro****.Com canonical name = ldlearntest.trafficmanager.net.
ldlearntest.trafficmanager.net canonical name = subdomain-takeover-msrc.wanybug.Com.
Name: subdomain-takeover-msrc.wanybug.Com
Address: 47.52.101.203

可以得出:

  • learnt.Micro**.Com CNAME ldlearntest.trafficmanager.net
  • ldlearntest.trafficmanager.net CNAME subdomain-takeover-msrc.wanybug.Com

由此可以判断出 白帽师傅@wAnyBug 注册了ldlearntest.trafficmanager.net (随后确认确实如此)

点击收藏 | 1 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖