什么是域名劫持?
域名劫持也被称为DNS劫持,它通过攻击域名解析服务器、伪造域名解析服务器的方法,拦截目标的域名解析请求,将目标网站域名解析到错误的地址上,让攻击目前无法回应访问。
子域名接管漏洞通常被滥用于以下几个目的:恶意软件分发、网络钓鱼/鱼叉式网络钓鱼、XSS 、身份验证绕过等等。由于某些证书颁发机构仅需要域验证,因此也可以轻松生成SSL证书。
前言
子域名接管是注册不存在的域名以获得对另一个域的控制权的过程。此过程最常见的情况如下:
1.域名(例如,sub.example.com)将CNAME记录用于另一个域(例如,sub.example.com CNAME anotherdomain.com)。
2.在某个时间点,anotherdomain.com到期并可供任何人注册。
3.由于未从example.com DNS区域删除CNAME记录,因此注册anotherdomain.com的任何人都可以完全控制sub.example.com,直到存在DNS记录。
子域名接管的影响可能非常重要。使用子域名接管,攻击者可以从合法域发送网络钓鱼电子邮件,执行跨站点脚本(XSS)或破坏与域关联的品牌声誉。
子域名接管不仅限于CNAME记录。NS,MX甚至A记录也会受到影响。这篇文章主要涉及CNAME记录。但是,NS和MX记录的相关用例会在需要时也会介绍到。
还是不懂的话,举个栗子:
xxxx.xxx.com 对于的是域名的
比如说cname解析出来
www.baidu.com ------> 666.baidu6.com
如果什么出来是这样的
而不是
www.baidu.cm 111.111.111.111 不是对于ip的
那么就可以查一下
666.baidu6.com这域名有没有过期
如果过期了,就是域名可以购买了
你就把666.baidu6.com这域名购买了
然后你再访问www.baidu.com 这网址,他就会跳转到666.baidu6.com这网址,
为什么呢
就是因为666.baidu6.com这个域名过期了,没有续费,而他的解析没有更改目标,而我们现在把666.baidu6.com购买了,访问baidu就会跳转到666.baidu6.com
实战
1、漏洞指纹
访问 static-good-boy.huoxian.cn
发现返回如下:
上面的图片表示什么意思呢,我翻译下:
1、static-good-boy.huoxian.cn指向了static-good-boy.oss-cn-beijing.aliyuncs.com这个子域名
2、static-good-boy.oss-cn-beijing.aliyuncs.com这个桶不存在
也就是说我只要申请 static-good-boy这个桶,那么我就可以控制static-good-boy.oss-cn-beijing.aliyuncs.com的内容,而static-good-boy.huoxian.cn指向了static-good-boy.oss-cn-beijing.aliyuncs.com,就相当于变相的控制了static-good-boy.huoxian.cn,而在static-good-boy.huoxian.cn上窃取其他huoxian.cn子域名的一些cookie等信息是有很大可能的~
2、漏洞利用
访问阿里云的存储桶控制台([https://oss.console.aliyun.com/bucket][0])
新建桶
创建成功后,上传文件
成功上传后,访问以下链接,成功接管
static-good-boy.huoxian.cn/mkdd.html
修复建议:
一、暂停域名解析
当我们发现网站被劫持后,第一时间要将域名解析服务暂停。我们可以进入域名解析服务器的后台,找到被攻击的域名,并将它删除,如果是通过服务商进行的域名解析活动,则可以联系服务商来暂停解析活动。
二、更改服务器的设置
一旦网站被劫持,黑客会对网站对文件进行篡改。为来保护网站数据,我们可以通过服务器的事件管理器,我们可以找到被攻击者恶意篡改的日志文件,然后我们可以将服务器事件管理器设置更改为“可读”,让日志文件恢复,从而确保数据或文件对安全。值得注意的是,我们在设置时,还需要取消“可写”的权限,这样,可以避免文件在后期再次被篡改。