子域名劫持漏洞挖掘与利用全面指南<\/h1>

1. 子域名劫持漏洞概述<\/h2>
子域名劫持(Subdomain Takeover)是指由于错误配置导致子域名指向未使用的第三方服务，攻击者通过在该服务注册账户声明对该子域的控制权，从而接管子域名并部署恶意内容。<\/p>

1.1 基本攻击原理<\/h3>

目标网站存在子域名(如subdomain.example.com)<\/li>
该子域名DNS记录指向第三方服务(如GitHub Pages)<\/li>
该子域名在第三方服务上未被注册使用<\/li>

攻击者可在第三方服务注册该子域名并控制其内容<\/li> <\/ol>

1.2 二阶子域名劫持<\/h3>

目标网站网页中引用了第三方资源(如JS文件)<\/li>
该第三方资源所在子域名可被劫持<\/li>

通过修改被劫持子域名上的资源内容，间接影响目标网站<\/li> <\/ul>

2. 子域名发现技术<\/h2>

2.1 检索(Scraping)技术<\/h3>

被动侦测方式，利用外部服务收集子域名：<\/p>

DNS Dumpster<\/li>
VirusTotal<\/li>
目标网站GIT库<\/li>
内容安全策略头<\/li>
网站源代码<\/li>

漏洞跟踪消息<\/li> <\/ul>

工具推荐：<\/p>

Sublist3r：从搜索引擎、SSL证书和DNS记录网站收集子域名<\/li> <\/ul>

git clone https:\/\/github.com\/aboul3la\/Sublist3r.git
<\/span><\/span>cd Sublist3r
<\/span><\/span>sudo pip install -r requirements.txt
<\/span><\/span><\/code><\/pre>2.2 暴力猜解(Brute Forcing)<\/h3>
使用字典进行迭代请求尝试：<\/p>

注意泛域名(Wildcard)模式可能导致误报<\/li>
检查不存在的子域名响应判断是否开启泛域名<\/li>
创建个性化字典(如包含jira、git等常见子域名)<\/li>
<\/ul>
host randomifje8z193hf8jafvh7g4q79gh274.example.com
<\/span><\/span><\/code><\/pre>2.3 指纹识别(Fingerprinting)<\/h3>
通过创建目标网站的通用字典来发现特殊子域名。<\/p>
3. 常用子域名发现工具<\/h2>
3.1 Altdns<\/h3>
递归暴力猜解工具：<\/p>

创建存在的子域名字典(subdomains.txt)<\/li>
创建递归置换字典(words.txt)<\/li>
运行工具生成结果<\/li>
<\/ol>
.\/altdns.py -i subdomains.txt -o data_output -w words.txt -r -s results_output.txt
<\/span><\/span><\/code><\/pre>3.2 Commonspeak<\/h3>
利用Google BigQuery查询记录生成每日更新的子域名字典。<\/p>
3.3 SubFinder<\/h3>
兼具检索和暴力猜解功能，支持多种API接口。<\/p>
3.4 Massdns<\/h3>
高速子域名枚举工具，需指定有效DNS解析器。<\/p>
.\/scripts\/subbrute.py lists\/names.txt example.com | .\/bin\/massdns -r lists\/resolvers.txt -t A -o S -w results.txt
<\/span><\/span><\/code><\/pre>4. 自动化流程<\/h2>
4.1 过滤有效子域名<\/h3>
while<\/span> read subdomain; do<\/span>
<\/span><\/span>  if<\/span> host "<\/span>$subdomain"<\/span> > \/dev\/null; then<\/span>
<\/span><\/span>    echo "<\/span>$subdomain"<\/span> >> live.txt
<\/span><\/span>  fi<\/span>
<\/span><\/span>done<\/span> < subdomain-list.txt
<\/span><\/span><\/code><\/pre>4.2 子域名截图<\/h3>
使用EyeWitness工具：<\/p>
.\/EyeWitness -f live.txt -d out --headless
<\/span><\/span><\/code><\/pre>4.3 存储响应内容<\/h3>
使用meg工具：<\/p>
meg -d 10<\/span> -c 200<\/span> \/ live.txt
<\/span><\/span><\/code><\/pre>4.4 特殊情况处理<\/h3>

注意dead DNS records可能仍存在漏洞<\/li>
使用dig命令而非host命令检查更准确<\/li>
<\/ul>
5. 漏洞利用技术<\/h2>
5.1 Cookie窃取<\/h3>

控制子域名后部署web服务<\/li>
设置恶意cookie<\/li>
利用Session Fixation漏洞劫持会话<\/li>
<\/ul>
5.2 CORS跨域资源共享<\/h3>

检查CORS头信息<\/li>
确认子域名是否在白名单中<\/li>
利用跨域请求窃取认证数据<\/li>
<\/ul>
5.3 Oauth授权白名单<\/h3>

劫持列入白名单的子域名<\/li>
重定向用户会话窃取Oauth授权信息<\/li>
<\/ul>
5.4 绕过内容安全策略(CSP)<\/h3>

确认可劫持子域名是否在CSP白名单中<\/li>
绕过CSP限制执行恶意客户端代码<\/li>
<\/ul>
5.5 点击劫持(ClickJacking)<\/h3>

检查X-Frame-Options标头中的ALLOW-FROM uri<\/li>
利用列入白名单的子域名构建欺骗页面<\/li>
<\/ul>
5.6 密码管理器泄露<\/h3>

利用密码管理器在子域名上的自动填充功能<\/li>
获取明文密码信息<\/li>
<\/ul>
5.7 拦截电子邮件<\/h3>

劫持邮件服务相关子域名(如SendGrid)<\/li>
拦截目标组织的内部邮件通信<\/li>
<\/ul>
6. 漏洞上报注意事项<\/h2>

在被劫持子域名上部署简单内容(如一句话标志)<\/li>
在HTML注释中包含隐秘消息作为证明<\/li>
仅在获得授权后进行深入测试<\/li>
详细描述漏洞利用步骤<\/li>
子域名劫持通常被视为高危漏洞<\/li>
<\/ol>
7. 防御建议<\/h2>

定期检查并清理不再使用的子域名记录<\/li>
监控DNS记录变更<\/li>
及时注销不再使用的第三方服务账户<\/li>
实施严格的CSP策略<\/li>
限制Oauth和CORS的白名单范围<\/li>
<\/ol>
通过系统性地应用这些技术和方法，安全研究人员可以有效地发现和利用子域名劫持漏洞，帮助组织提高其Web资产的安全性。<\/p>

子域名劫持漏洞挖掘与利用全面指南<\/h1>

1. 子域名劫持漏洞概述<\/h2> 子域名劫持(Subdomain Takeover)是指由于错误配置导致子域名指向未使用的第三方服务，攻击者通过在该服务注册账户声明对该子域的控制权，从而接管子域名并部署恶意内容。<\/p>

2. 子域名发现技术<\/h2>

2.3 指纹识别(Fingerprinting)<\/h3> 通过创建目标网站的通用字典来发现特殊子域名。<\/p>

3. 常用子域名发现工具<\/h2>

3.2 Commonspeak<\/h3> 利用Google BigQuery查询记录生成每日更新的子域名字典。<\/p>

3.3 SubFinder<\/h3> 兼具检索和暴力猜解功能，支持多种API接口。<\/p>

4. 自动化流程<\/h2>

5. 漏洞利用技术<\/h2>

1. 子域名劫持漏洞概述<\/h2>
子域名劫持(Subdomain Takeover)是指由于错误配置导致子域名指向未使用的第三方服务，攻击者通过在该服务注册账户声明对该子域的控制权，从而接管子域名并部署恶意内容。<\/p>

2.3 指纹识别(Fingerprinting)<\/h3>
通过创建目标网站的通用字典来发现特殊子域名。<\/p>

3.2 Commonspeak<\/h3>
利用Google BigQuery查询记录生成每日更新的子域名字典。<\/p>

3.3 SubFinder<\/h3>
兼具检索和暴力猜解功能，支持多种API接口。<\/p>