Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Cómo tomé el control de tu subdominio

  • 5 Respuestas
  • 7397 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: "><<img src=y onerror=prompt();>
« en: Septiembre 12, 2016, 02:23:15 pm »
Buenas a todos.

Me gustaría presentaros una técnica para tomar el control de ciertos dominios/subdominios de empresas. Es relativamente antigua, pero creo no haberla visto en blogs de habla hispana (no me echéis a los leones si me equivoco).

Como todos sabéis, la base para encontrar vulnerabilidades es la ENUMERACIÓN. Gracias a ella ampliamos exponencialmente nuestra superficie de ataque. Hay muchísimas herramientas para encontrar subdominios, es algo más que cubierto en los blogs de seguridad informática.

El nombre de la técnica es Subdomain Takeover o Toma de control de subdominio

Una vez elegido el dominio al que atacar (siempre teniendo permiso, por supuesto) podemos encontrarnos con que apunta a instancias de Heroku, Github, Amazon AWS, Sendgrid, etc. Es aquí cuando comienza nuestro ataque.
Hay empresas que crean instancias en dichos servicios y apuntan un subdominio hacia ellas. Tras un tiempo pueden eliminar dichas instancias, pero si se olvidan de eliminar el subdominio o hacer que no apunte hacia ellas podremos tomar el control del mismo.

En este caso en concreto la situación es la siguiente:
  • La empresa crea una instancia de almacenamiento (S3) en Amazon AWS
  • Apuntan su subdominio source.empresa.com hacia dicha instancia
  • Tras un tiempo eliminan la instancia PERO SE OLVIDAN DE CAMBIAR EL SUBDOMINIO

(en las imágenes se muestra cómo el subdominio sigue apuntando hacia la instancia ya eliminada)




Gracias a ello nosotros podemos hacer que dicho subdominio apunte hacia una instancia nuestra. En ella podemos almacenar simplemente algo para vacilar, spam de una empresa competidora, un phising... las opciones son muchas y cada cual más jugosa.

En el caso de AWS lo que deberemos hacer es conectarnos a nuestra cuenta (mejor a una anónima si no lo hacéis con permiso) y crear una nueva instancia con el nombre del subdominio (la parte de la izquierda en ANSWER SECTION en la imagen anterior, en mi caso source.empresa.com, es decir, todo lo anterior a s3.amazonaws.com).

Tras crear la instancia subiremos nuestro archivo (en mi caso un index.html en el que había <h1>pwned</h1>) a la misma y lo marcaremos como público.

(en la imagen se aprecia el resultado)


El resultado es que el subdominio apunta a nuestra instancia y tenemos control total del mismo:

(imagen)




Espero que os sirva de utilidad el post.


Más información y los primeros posts que leí sobre esta técnica:
« Última modificación: Septiembre 12, 2016, 02:25:13 pm por Jimeno »
Contacto: @migueljimeno96 -

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1923
  • Actividad:
    3.33%
  • Reputación 15
    • Ver Perfil
« Respuesta #1 en: Septiembre 12, 2016, 02:34:12 pm »
Muy bueno! No sé si de verdad será algo común entre grandes empresas, pero es un gran descubrimiento por tu parte y un gran bug bounty

Un saludo.



Desconectado elseñorx

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Septiembre 12, 2016, 06:46:24 pm »
Hola buenas tardes
como detectas los subdominios de la web es lo que no entendí, disculpen mi ignorancia

Desconectado po6xsecpo

« Respuesta #3 en: Septiembre 12, 2016, 08:07:24 pm »
Puedes hacerlo con consultas de DNS usando el comando dig o de forma más sencilla usando una herramienta como the harvester.

Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: &quot;&gt;&lt;&lt;img src=y onerror=prompt();&gt;
« Respuesta #4 en: Septiembre 13, 2016, 02:58:55 am »
Buenas.

Dispones de muchas herramientas y métodos. Personalmente yo utilizo Gobuster, Google dorks, DNSdumpster y subbrute, pero hay muchas otras.

Si buscas rápidamente en google "encontrar subdominios"  o "subdomain enumeration" te aparecerán muchos artículos interesantes sobre distintos métodos para hacerlo.

Un saludo.
Hola buenas tardes
como detectas los subdominios de la web es lo que no entendí, disculpen mi ignorancia
Contacto: @migueljimeno96 -

Desconectado elefren

  • *
  • Underc0der
  • Mensajes: 7
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • elefrEn Blog
« Respuesta #5 en: Septiembre 30, 2016, 11:48:21 am »
Muy bueno amigo. Un gran fallo por parte de amazon u otro servicios no hacer una confirmacion mediante un archivo xml o algo para saber que realemnte tu eres el propietario del dominio.
From Canary Islands

Mi blog: http://www.elefren.es/

 

¿Te gustó el post? COMPARTILO!



Los 3 modos más comunes de hackear WordPress y cómo evitarlo

Iniciado por Hackmundy

Respuestas: 2
Vistas: 7404
Último mensaje Marzo 06, 2013, 01:15:42 am
por b166er
Como Encontrar el AdminPanel (Algunos Metodos)

Iniciado por hdbreaker

Respuestas: 4
Vistas: 4753
Último mensaje Junio 25, 2012, 03:34:37 pm
por Satyricon
Cómo explotar vulnerabilidad de Windows 7 con Metasploit

Iniciado por Pekador

Respuestas: 2
Vistas: 5700
Último mensaje Abril 16, 2012, 04:35:47 pm
por SPELINAX
[VIDEO] Como subir una shell a Wordpress

Iniciado por unkdown

Respuestas: 2
Vistas: 3792
Último mensaje Diciembre 13, 2015, 07:12:12 pm
por Gabriela
[TUTORIAL] Como crear tu csrf

Iniciado por Windero

Respuestas: 4
Vistas: 4132
Último mensaje Agosto 24, 2013, 08:09:05 am
por Réplica1