挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞

栏目: 编程工具 · 发布时间: 6年前

内容简介:某个星期一大早上,我注意到星巴克子域名wfmnarptpc.starbucks.com解析出现了找不到CNAME的NXDOMAIN响应,也就是其域名别名记录不存在于权威服务器中。但实际上有趣的是,在ANSWER SECTION消息中,却存在一条记录,它做了CNAME指向s00149tmppcrpt.trafficmanager.net。凭我的经验来说,我觉得这种情况可能存在子域名劫持漏洞。因为我上一个子域名劫持漏洞中,也是因为 Azure 的专用IP地址,在CNAME解析时出现了NXDOMAIN响应的情况

挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞 最近,我好像和星巴克( Starbucks)有缘,连续发现了它的两个子域名劫持漏洞,囊获了$4000美金。其中, 第一个漏洞是基于微软的Azure云服务 发现的,这一次的第二个漏洞也非常相似,我是利用Azure云服务中的流量管理器(Traffic Manager)来发现的。这篇文章,我就来和大家分享一下这个基于Azure流量管理器的子域名劫持漏洞发现过程。

挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞 发现NXDOMAIN响应

某个星期一大早上,我注意到星巴克子域名wfmnarptpc.starbucks.com解析出现了找不到CNAME的NXDOMAIN响应,也就是其域名别名记录不存在于权威服务器中。但实际上有趣的是,在ANSWER SECTION消息中,却存在一条记录,它做了CNAME指向s00149tmppcrpt.trafficmanager.net。凭我的经验来说,我觉得这种情况可能存在子域名劫持漏洞。因为我上一个子域名劫持漏洞中,也是因为 Azure 的专用IP地址,在CNAME解析时出现了NXDOMAIN响应的情况。我想,这里十有八九也是这种情况。

$ dig a wfmnarptpc.starbucks.com
; <<>> DiG 9.10.6 <<>> a wfmnarptpc.starbucks.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 20251
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;wfmnarptpc.starbucks.com. IN A
;; ANSWER SECTION:
wfmnarptpc.starbucks.com. 33165 IN CNAME s00149tmppcrpt.trafficmanager.net.

Azure 云服务;是一个灵活的企业级公有云平台,提供数据库、云服务、云存储、人工智能互联网、CDN等高效、稳定、可扩展的云端服务。之前,我也没提到过 trafficmanager.net 可能存在子域劫持的可能,微软 Azure 的流量管理器(Traffic Manager)是这样描述自身功能的:

Azure 流量管理器是一种基于 DNS 的流量负载均衡器,可以在全球 Azure 区域内以最佳方式向服务分发流量,同时提供高可用性和响应性。流量管理器根据流量路由方法和终结点的运行状况,使用 DNS 将客户端请求定向到最合适的服务终结点。……,可以在 Azure 外部或非Azure服务端的环境中来部署使用流量管理器。

测试子域名的可注册性

以上这个说明,按我的意思来理解,简而言之,是不是说,有一些域名指向了 trafficmanager.net 不存在的子域?这里,恰好又出现了NXDOMAIN响应状况,那说明星巴克使用了Azure 的流量管理器服务,而且可能存在子域名劫持漏洞。为了证明这种猜测,我们需要看看能不能再注册 s00149tmppcrpt.trafficmanager.net 这个子域名。幸运的是,Azure并没有对注册进行任何域名所有权的身份验证。

我之前的介绍和研究 来看,到这一步可能还不能说明问题。因为 Azure 中会存在子域名禁用的配置,也就是说,以该域名来说,表面看似存在子域名劫持漏洞,但可能在实际创建注册的时候又不行。不管那么多,我还是先注册吧,先在Azure控制面板中注册一个新的流量管理器配置用户:

挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞

成功实现子域名劫持

好在看绿色打勾处,可以通过!那么子域名劫持一定是存在的了!也就是说,我能把域名 s00149tmppcrpt.trafficmanager.net 注册为己有,然后进行相关的劫持漏洞测试。注册成功后,我需要把这个域名指向我自己的服务器:

挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞 之后,我只需要在我的服务器中创建一个虚拟主机就行:

挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞 然后,这个域名指向就变成了我自己能控制的网站了:

挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞 *参考来源: patrick ,clouds编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

自媒体写作,从基本功到实战方法

自媒体写作,从基本功到实战方法

余老诗 / 清华大学出版社 / 2018-9-1 / 59.00元

《自媒体写作》是一本系统而通俗易懂的自媒体写作指导书。 全书共分为10章,分别从写作基本功、新媒体认知、新媒体传播规律和自媒体作者阅读写作素养以及如何进阶等方面展开,结合简书、公众号、今日头条等主流自媒体所选例文,讲解写作知识和新媒体特点,内容详实,有理有据,非常适合自媒体写作爱好者自学。 尤其值得一提的是,写作基本功部分从原理、方法和技巧三个层面展开论说,让自媒体写作学习者既能从根本......一起来看看 《自媒体写作,从基本功到实战方法》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器