挖洞经验 | 看我如何发现星巴克(Starbucks)子域名劫持漏洞 – 互联网安全新媒体平台

近来,我似乎和星巴克( Starbucks)有缘,继续发清楚明了它的两个子域名挟制破绽,囊获了$4000美金。此中,第一个破绽是基于微软的Azure云办事发明的,这一次的第二个破绽也异常相似,我是使用Azure云办事中的流量治理器(Traffic Manager)来发明的。这篇文章,我就来和大年夜家分享一下这个基于Azure流量治理器的子域名挟制破绽发明历程。

近来,我似乎和星巴克( Starbucks)有缘,继续发清楚明了它的两个子域名挟制破绽,囊获了$4000美金。此中,第一个破绽是基于微软的Azure云办事发明的,这一次的第二个破绽也异常相似,我是使用Azure云办事中的流量治理器(Traffic Manager)来发明的。这篇文章,我就来和大年夜家分享一下这个基于Azure流量治理器的子域名挟制破绽发明历程。

发明NXDOMAIN相应发明NXDOMAIN相应

某个礼拜一大年夜早上,我留意到星巴克子域名wfmnarptpc.starbucks.com解析呈现了找不到CNAME的NXDOMAIN相应,也便是其域名又名记录不存在于势力巨子办事器中。但实际上有趣的是,在ANSWER SECTION消息中,却存在一笔记录,它做了CNAME指向s00149tmppcrpt.trafficmanager.net。凭我的履历来说,我感觉这种环境可能存在子域名挟制破绽。由于我上一个子域名挟制破绽中,也是由于 Azure 的专用IP地址,在CNAME解析时呈现了NXDOMAIN相应的环境。我想,这里十有八九也是这种环境。

$ dig a wfmnarptpc.starbucks.com

; > DiG 9.10.6 > a wfmnarptpc.starbucks.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER

Azure 云办事;是一个机动的企业级公有云平台,供给数据库、云办事、云存储、人工智能互联网、CDN等高效、稳定、可扩展的云端办事。之前,我也没提到过 trafficmanager.net 可能存在子域挟制的可能,微软 Azure 的流量治理器(Traffic Manager)是这样描述自身功能的:

Azure 流量治理器是一种基于 DNS 的流量负载均衡器,可以在举世 Azure 区域内以最佳要领向办事分发流量,同时供给高可用性和相应性。流量治理器根据流量路由措施和遣散点的运行状况,应用 DNS 将客户端哀求定向到最相宜的办事遣散点。……,可以在 Azure 外部或非Azure办事真个情况中来支配应用流量治理器。

测试子域名的可注册性

以上这个阐明,按我的意思来理解,简而言之,是不是说,有一些域名指向了 trafficmanager.net 不存在的子域?这里,正好又呈现了NXDOMAIN相应状况,那阐明星巴克应用了Azure 的流量治理器办事,而且可能存在子域名挟制破绽。为了证实这种预测,我们必要看看能不能再注册 s00149tmppcrpt.trafficmanager.net 这个子域名。幸运的是,Azure并没有对注册进行任何域名所有权的身份验证。

从我之前的先容和钻研来看,到这一步可能还不能阐明问题。由于 Azure 中会存在子域名禁用的设置设置设备摆设摆设,也便是说,以该域名来说,外面看似存在子域名挟制破绽,但可能在实际创建注册的时刻又不可。不管那么多,我照样先注册吧,先在Azure节制面板中注册一个新的流量治理器设置设置设备摆设摆设用户:

成功实现子域名挟制

好在看绿色打勾处,可以经由过程!那么子域名挟制必然是存在的了!也便是说,我能把域名 s00149tmppcrpt.trafficmanager.net 注册为己有,然落后行相关的挟制破绽测试。注册成功后,我必要把这个域名指向我自己的办事器:

之后,我只必要在我的办事器中创建一个虚拟主机就行:

之后,我只必要在我的办事器中创建一个虚拟主机就行:

然后,这个域名指向就变成了我自己能节制的网站了:

然后,这个域名指向就变成了我自己能节制的网站了:

*参考滥觞:patrick,clouds编译,转载请注明来自.COM

*参考滥觞:patrick,clouds编译,转载请注明来自.COM

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包