ソース:
訳:
AWS/S3 バケットのサブドメインをどのようにして引き継ぐことができたのかについて書きます。
サブドメインの乗っ取りは、 攻撃者が放棄されたサブドメインまたは誤って構成されたサブドメインを悪用し、不正な制御を獲得するサイバーセキュリティの脆弱性です。 これにより、フィッシング、マルウェアの配布、改ざんなどの悪意のある活動が発生する可能性があります。
これらは、このサブドメインを正常に引き継ぎ、自分の AWS バケットにリンクするために私が実行した手順です。
- 偵察ツールを使用してサブドメインを列挙します。ここでは Subfinder を使用します。
- サブドメインの「署名」を確認します。AWS の場合、署名は「指定されたバケットが存在しません」になります。これに使用されるツールは Subzy です。
- を使用してテイクオーバーを確認する can-i-takeover-XYZ
- 利益 !!
サブドメインを列挙する
最初に行うことは偵察を行い、可能な限りすべての標的資産を見つけることでした。 このプロセスでは、サブドメイン列挙が使用されます。サブドメイン列挙では、さまざまな手法を使用してターゲットのサブドメインを見つけます。これには、検索エンジン、パブリック データベース、その他のサードパーティ サービスなどの外部データ ソースの検索と、DNS レコードのスキャンが含まれます NS 、MX、TXT、AXFR)。
この目的のために多くのツールが存在します。最大量の結果を取得するには、ツールで外部データ ソース API キーを設定することを強くお勧めします。
ここでは Subfinder ツールを使用しますが、Sublist3r、Amass、Knockpy など、他にも価値のあるツールが存在します。
インストール後に Subfinder を使用して、次を実行してみましょう。
docker run projectdiscovery/subfinder:latest -d Mobility.com -o out.txt
out.txt に出力があり、次のステップに進むことができます。
Subfinder のサブドメイン列挙の結果。
署名のスキャン
スクリーンショットを記録するツールの使用から、テキスト/正規表現の照合を試みるツールの使用、ドメインの手動チェックまで、サブドメインの乗っ取りの可能性をチェックするためのツールが多数存在します。
Subzy というツールを使用して、一致するテキスト署名を検索するプロセスを自動化します。
Subzy がインストールされていると仮定して、次を実行してみましょう。
subzy run — ターゲット out.txt
完了するまで待って、何が見つかるか見てみましょう。
幸運だったようで、ドメインが脆弱であることがわかり、「can-i-take-over-xyz」リポジトリへの素晴らしいリンクも与えられました。
テイクオーバーの確認と実行
このドメインが脆弱であることがわかったので、 can-i-takeover-xyz に移動して見てみましょう。
- に移動します S3パネル
- をクリックします 「バケットの作成」
- 設定します。 バケット名 をソースドメイン名(つまり、引き継ぎたいドメイン)に
- クリックして終了します 「次へ」を 複数回
- 作成したバケットを開く
- をクリックします 「アップロード」
- PoC に使用するファイル (HTML または TXT ファイル) を選択します。 とは異なる名前を付けることをお勧めします Index.html 。 を使用できます poc (拡張子なし)
- で、 [権限] タブ [このオブジェクトへのパブリック読み取りアクセスを許可する]を選択します。
- アップロード後、ファイルを選択し、 [詳細] -> [メタデータの変更]をクリックします。
- をクリックし [メタデータの追加] 、 Content-Type を選択すると、値はドキュメントのタイプを反映する必要があります。 HTML の場合は、 text/html などを選択します。
- (オプション) バケットが Web サイトとして構成されている場合
- に切り替えます 「プロパティ」 タブ
- をクリックします。 「静的 Web サイトのホスティング」
- を選択します 「このバケットを使用して Web サイトをホストする」
- インデックスとして、アップロードしたファイルを選択します
- をクリックします 「保存」
成功 !!
このドメイン/サブドメインを引き継ぎ、POC をアップロードしました。
ほなほな。
