印度阿三安全研究员,欺骗漏洞赏金全过程!
印度阿三安全研究员,欺骗漏洞赏金全过程!
原创 村里的小四 信安之路 2025-04-28 08:55
本文作者:村里的小四,成长平台三百分成员,本文奖励信安之路知识星球一年有效期。
凌晨 3 点收到一封邮件,邮件标题是 Responsible Disclosure of a Subdomain Takeover issue on: t.test.example.com,此处 t.test.example.com 是公司域名,领导让我分析是真的有漏洞还是钓鱼邮件,我将详细的写出分析该事件的整个过程。每一项都有如过江之鲫的现成资料可获取,但那是别人的知识,学完并写完,就变成你的知识。人有思维定势,在脑子里时不容易跳出来,好记性不如烂笔头,写在文档中,可能很快就意识到。
邮件内容
跟这篇邮件内容除了域名不一样,其他都一模一样
https://groups.google.com/a/neurodata.io/g/support/c/ng1OeCZfh6M
翻译版本
漏洞复现
1)子域名接管漏洞原理
以下文字来自维基百科:
真实名称记录(英语:Canonical Name Record),即 CNAME 记录,是域名系统(DNS)的一种记录。CNAME 记录用于将一个域名(同名)映射到另一个域名(真实名称),域名解析服务器遇到 CNAME 记录会以映射到的目标重新开始查询。
这对于需要在同一个 IP 地址上运行多个服务的情况来说非常方便。若要同时运行文件传输服务和 Web 服务,则可以把 ftp.example.com 和
www.example.com
都指向 DNS 记录 example.com,而后者则有一个指向 IP 地址的 A 记录。如此一来,若服务器 IP 地址改变,则只需修改 example.com 的 A 记录即可。CNAME 记录必须指向另一个域名,而不能是 IP 地址。
举个最简单的例子:假如 a.com CNAME 到 b.com,有一天 b.com 停止服务,a.com 并没有解除 CNAME 到 b.com,如果黑客注册了 b.com,此时会发生什么呢?
假设 b.com 映射到 ip 为 1.1.1.1 ,1.1.1.1 部署的是黑客自定义的网页,此时用户访问 a.com,实际访问到了 1.1.1.1 黑客自定义界面。
dig 命令可查看 cname 记录
假设 t.test.example.com CNAME 到 test.example.com,test.example.com
github 该项目列出了容易被接管的子域名托管地址:
https://github.com/EdOverflow/can-i-take-over-xyz
test.example.com 该域名我公司一直在接管,黑客无法注册此域名,且域名服务跟上图托管没关联所以我司不存在该漏洞。
该网站可用在线监测是否存在子域名接管漏洞:
https://punksecurity.co.uk/dnsreaper/
该工具也可扫描网站是否存在子域名劫持漏洞:
https://github.com/Echocipher/Subdomain-Takeover
溯源
黑客邮件地址:
[email protected]
黑客ID:OmriInbar
黑客github:
https://github.com/omriman067
黑客主页:
https://www.galaxysec.co.uk/
黑客Galaxysec小团队主页:
https://www.facebook.com/galaxysec.ranchi/
Facebook 发现黑客所属地是印度兰契
通过查资料,发现该黑客喜欢批量扫描漏洞并提交。
https://www.openbugbounty.org/researchers/omriman067/
在谷歌的群组会话中上发现该黑客通过同样的方式发送钓鱼邮件欺骗其他公司。
尝试查看发给其他公司的邮件是否有子域名接管漏洞
终端执行:dig synaptomes.neurodata.io
$ dig synaptomes.neurodata.io
由上面图片可看出该域名根本没使用CNAME解析,该黑客骗其他公司存在子域名接管漏洞。
参考资源
[1] HTTPS抓包扯淡 – 沈陈舟 [2023-09-01]
https://scz.617.cn/network/202309010819.txt
[2] 子域名接管漏洞 – 07 [2021-09-29]
[3] 云安全|子域名接管漏洞 – 霜刃 [2022-11-18]
[4] 【赏金猎人】NASA:关键 SSRF + 子域名接管 + XSS – Ost安全 [2024-05-29]