В этой статье покажу, как в рамках программы багбаунти захватил поддомен и получил за это денежное вознаграждение.
Еще по теме: Захват поддоменов с помощью Sub404
Багбаунти — это программа, в рамках которой компании или организации предлагают вознаграждения (баунти) исследователям безопасности за обнаружение и сообщение уязвимостей в их программном обеспечении, веб-сайтах или системах.
Захват поддомена
Захват поддомена — это уязвимость, которая возникает, когда поддомен (часть более крупного сайта, например mail.example.com) перестает активно использоваться его владельцем. Это может произойти по разным причинам, например:
- Поддомен мог использоваться для услуг, которые больше не предоставляются, в результате чего он стал неактивным.
- Случайные ошибки при управлении доменом или поддоменом могут привести к созданию невостребованных поддоменов.
Статья в образовательных и исследовательских целях. Захват поддоменов без письменного разрешения — серьезное преступление. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши незаконные действия.
Шаги для для поиска поддомена
Шаг 1: Выберите целевой домен и начните процесс поиска поддоменов. Используйте такие инструменты, как Subfinder, в сочетании с параметром -sc 404, чтобы выявить поддомены, которые не используются, что очень важно для потенциальных попыток захвата. Начальная команда для выполнения следующая:
1 |
subfinder -d example.com | httpx -sc 404 | tee list.txt |
Шаг 2: Вручную проверьте каждый поддомен, отмеченный кодом ответа 404. Уделите пристальное внимание любым подсказкам или предоставленной информации, особенно указаниям на невостребованные бакеты S3 или другие важные детали. Кроме того, используйте команду ‘dig’ для изучения записей CNAME (Canonical Name). Например, использование команды dig позволяет получить CNAME, показывая, куда ведет исходный поддомен. Этот шаг очень важен для успешного захвата поддомена.
1 |
dig mail.example.com |
Шаг 3: Перейдите в репозиторий Can I Take Over XYZ, в нем есть таблица со списком уязвимых cname, по которой вы можете проверить, является ли ваш cname уязвимым или нет.
Еще один простой способ — использовать Nuclei. В нем есть шаблон под названием Takeover (Захват), который поможет проверить, может ли домен быть захвачен. Но помните, что иногда стоит перепроверять вручную, потому что автоматические инструменты могут допускать ошибки. Чтобы использовать Nuclie, просто введите команду:
1 |
nuclei -l subdomain_results.txt -t -o results.txt |
Если есть вероятность захвата, изучите различные стратегии его достижения. Я опишу несколько методов, которые вы можете рассмотреть.
unbouncepages.com — эта проблема довольно часто встречается на многих сайтах и может легко принести прибыль. Вам даже не придется заявлять о ней, потому что для этого требуется подписка стоимостью $100-150. Просто сообщите об этом. Это все, что вам нужно, чтобы получить награду, и, возможно, она даже станет вашей первой.
Помните, что отчет, который вы отправляете, имеет решающее значение для программ bug bounty, поэтому очень важно знать правильные слова, которые нужно использовать, чтобы максимизировать свои шансы на получение хороших вознаграждений.
Если вы найдете поддомен, на котором отображается сообщение типа NoSuchBuckets, это большая победа. Просто войдите в AWS, создайте бакет с тем же именем, что и у поддомена, и убедитесь, что он находится в том же регионе. Не забудьте снять флажок с опции «блокировать публичный доступ». Затем вы можете заявить права на бакет и загрузить HTML-файл для его отображения.
S3 (Simple Storage Service) бакеты — это хранилища в облачном сервисе AWS, предназначенные для хранения и управления данными. Бакет можно представить как контейнер, в котором хранятся файлы (объекты).
Azure — если CNAME заканчивается на .cloudapp.net или . azurewebsites.net, это означает, что домен уязвим. Просто перейдите на сайт Microsoft Azure и войдите в систему самостоятельно.
Пример I — .cloudapp.net
- Перейдите на портал Azure.
- Выберите в меню пункт «Облачные службы (классические)».
- Создайте новую облачную службу, нажав на кнопку «Добавить».
- Заполните необходимые данные, такие как имя службы, подписка, группа ресурсов и местоположение.
- Выберите подходящие параметры конфигурации и модель развертывания.
Пример II — .azurewebsites.net
- Зайдите на портал Azure.
- Перейдите в раздел «Службы приложений».
- Нажмите «Создать новое веб-приложение».
- Укажите необходимые данные, такие как имя, подписка, группа ресурсов и регион. Убедитесь, что название совпадает с существующим, если вы хотите его заменить.
- После того как веб-приложение будет создано, перейдите в его панель управления.
- Откройте параметры развертывания и выберите предпочтительный метод развертывания, например FTP, Git или Azure Pipelines.
- Загрузите или подключите пакет развертывания и запустите процесс развертывания.
Существует множество различных способов заявить о своих правах на поддомен и потенциально получить высокую плату. Один из них — изучить альтернативные записи CNAME, поискав их в Google или в предыдущих отчетах, поскольку они могут содержать ценную информацию.
ПОЛЕЗНЫЕ ССЫЛКИ: