Subdomain Takeover Zafiyeti Hakkında

Alt alan adını ele geçirmek anlamına gelen subdomain takeover az rastlanan ilginç zafiyetlerden birtanesidir ve alt domain’i ele geçirerek diğer saldırı vektörlerini çalıştırmak için kullanılır. Basitçe açıklayalım, hedefimizde alt.firma.com şeklinde bir alt domain olsun;

  1. alt.firma.com CNAME DNS kaydı ile alt.wordpress.com‘a yönlendirilmiştir.
    (wordpress.com herkesin dilediği subdomain ile hesap açabileceği biryer)
  2. alt.wordpress.com hesap silinmesi veya kullanımdan kalkması gibi bir nedenden dolayı devre dışı kalır.
  3. Artık saldırgan wordpress.com üzerinde alt adıyla kendine ait bir hesap açabilir ve dosyalarını yükleyebilir.
  4. alt.firma.com halen alt.wordpress.com‘a yönlendirilmiş olduğundan saldırganın eline geçmiş olur.

Bu dört madde subdomain takeover saldırısının en basit açıklamasıdır. WordPress.com gibi kullanıcı tanımlı subdomain’lere izin veren diğer altyapı sağlayıcı ve servislerin listesine buradan ve buradan bakabilirsiniz.

Okumaya devam et “Subdomain Takeover Zafiyeti Hakkında”

sub.sh: Subdomain keşfi için en keyifli araç

Subdomain enumeration için birçok araç var. Bu nedenle yazının başlığı biraz iddialı olmuş olabilir. Bu tabiki benim kendi düşüncem ;)

Atak vektörünü genişletmek için hedef domain’in alt domain’lerini de kümeye dahil etmek gerekir. Bazı durumlarda alt domain’lerden ana domain’e yürümek veya diğer alt/ana domain’leri barındıran sunucu üzerinde erişim elde etmek mümkün olabilir.

Alt alanları tespit etmek için giriştiğim araştırma neticesinde, oldukça kapsamlı sonuçlar veren sub.sh aracını keşfetmiş ve burada tanıtmıştım. Araç birçok popüler çevrimiçi servisi ve aracı kullanarak çalışan bir combo araç. En sevdiğim yanı ise bir bash betiği olarak yazılmış olması.

Aracı birsüre kullandıktan sonra uzun zamandır güncellenmediğini ve buna bağlı olarak bazı eksikliklerinin ve çalışmayan kısımlarının olduğunu farkettim. CMD tarafından yazılan (2 yıl önce) sub.sh‘ı tamir etmek ve iyileştirmek için kendi github hesabım üzerinde bir çatal oluşturdum (fork) ve değişikliklerimi yaptım. Yaptığım bazı değişiklikler şunlardı:

  1. Used name servers for verifying subdomains ınstead of checking 80/443 (httprobe avoided).
  2. Some ortopedical improvements about outputs (file and screen).
  3. Updated depricated install method of go.
  4. Amass runs in passive mode in short scan (-s) otherwise runs in active brute mode.

Aracı yüklemek ve kullanmaya başlamak için aşağıdaki komutu çalıştırabilirsiniz:

Elinizin altında deneme yapacak bir linux makine yoksa hemen bir goole cloud server üzerinde de çalıştırabilirsiniz. Bunun için şu bağlantıya tıklatmanız yeterli:

https://console.cloud.google.com/cloudshell/open?git_repo=https://github.com/enseitankado/sub.sh&tutorial=README.md