• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Uptimerobot.com Custom Domain or Subdomain Takeover

September 24, 2018 by Jack Wilder 1 Comment

Uptimerobot.com Custom Domain or Subdomain Takeover – Oke kali ini saya akan membahas kemungkinan melakukan takeover pada laman uptimerobot.com. Uptimerobot.com adalah layanan untuk menampilkan status uptime dari layanan yang kita punya. Sebagai contoh mungkin bisa dilihat di status.linuxsec.org. Yep, laman untuk menampilkan status uptime dari server kita. Nah, layanan ini sendiri bisa digunakan secara gratis maupun berbayar (versi premium).

Public Status Page untuk Uptimerobot.com pun bisa digunakan untuk domain kustom. Syaratnya dengan menambahkan CNAME yang diarahkan ke stats.uptimerobot.com.

nah jika suatu saat pemilik dari custom domain tersebut menghapus Public Status Page nya namun tidak menghapus record CNAME di domain amanger, subdomain tersebut bisa kita takeover. Sebagai contoh disini saya test di uptime.zafkiel.net . uptime.zafkiel.net mengarah ke stats.uptimerobot.com naum tidak ada public status page yang dibuat.

yuyudhn@LINUXSEC:~$ curl https://uptime.zafkiel.net/
page not found
yuyudhn@LINUXSEC:~$ curl -I https://uptime.zafkiel.net
HTTP/2 404
content-type: text/html; charset=utf-8
date: Mon, 24 Sep 2018 10:34:14 GMT
etag: W/"e-d2v0Cs2NwwmTXQ8pOCI5YoIXuhc"
server: Caddy
strict-transport-security: max-age=31536000; includeSubDomains
vary: Accept-Encoding
...

Lalu test dengan perintah dig

yuyudhn@LINUXSEC:~$ dig uptime.zafkiel.net
....
uptime.zafkiel.net.     215     IN      CNAME   stats.uptimerobot.com.
stats.uptimerobot.com.  215     IN      A       69.162.67.141

Oke langkah yang bisa kita ambil adalah mendaftarkan public status page untuk custom domain tersebut.

Cek uptime.zafkiel.net

Oke sekian tutorial kali ini dan semoga bermanfaat.

Shares

Filed Under: Domain Takeover, Web Hacking

Reader Interactions

Comments

  1. mizbaul says

    September 21, 2022 at 3:37 am

    need help

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Mass Deface setelah Rooting Server

Zendesk Custom Domain or Subdomain Takeover

Deface WordPress Dengan Exploit Archin WordPress Theme 3.2 Unauthenticated Configuration Access Vulnerability

Exploit WordPress Ajax Load More PHP Upload Vulnerability

Cara Mudah Hack cPanel dengan Fitur Reset Password

MIME Type Sniffing pada Form Upload Gambar

DNS Hijacking through Social Engineering

Upload Backdoor Lewat MySQL Database (phpMyAdmin)

Tumblr Custom Domain or Subdomain Takeover

RCE pada Redis via Master-Slave Replication

LinuxSec / 73 queries in 0.09 seconds