前言

在搜资料的时候偶然发现了这么一种子域名劫持（Subdomain Takeover）漏洞，平时没遇到过，感觉很有趣，可以利用劫持玩出很多花样，同样，HackOne上也有很多例子：

一、 CNAME解析

CNAME解析是子域名劫持漏洞的关键因素，因此这里我们先简单说一下。我们知道域名解析是由DNS协议完成的，包含了多种记录类型，比如其中的A (Address) 记录是用来指定主机名（或域名）对应的IP地址记录；NS记录，解析服务器记录，用来表明由哪台服务器对该域名进行解析；而CNAME记录通常也叫别名记录，是一种将一个域名映射到另一个域名的记录。

换句话说，CNAME像是一个域名到另一个域名的解析。如下所示，是一个域名解析的过程，第3步通过CNAME记录找到了另外的域名，第5步找到了实际的ip地址，最后在第7/8步完成了访问。

二、子域名劫持原理

这里先假设一个场景，你申请了一个域名abc.com，那么主站的域名当然www.abc.com。之后为了快速开辟一个新的业务，你直接在阿里云上购买了相应的服务，阿里云分配了你一个二级域名shop.aliyun.com，虽然这个阿里云的二级域名是你独有的，但是你肯定仍然希望能使用自己的域名。这个时候CNAME解析就排上用场了，如下所示，这时候用户只需要访问你的shop.abc.com域名即会解析到shop.aliyun.com上。

一些代码上的手段也能实现域名跳转，但是那种浏览器跳转过去之后就不是本身的域名了，无法让用户记住自己的域名，所以一般会使用CNAME。

直到有一天你想关掉了你的这个业务，最简单的办法就是停掉aliyun的服务，省钱又方便。但是如果你只是关掉了云服务，没有删除CNAME记录，那么这个时候就有可能发生子域名劫持漏洞。因为此时攻击者就可以重新申请的你关掉服务，同样申请一个shop.aliyun.com的域名，当不知情的用户访问shop.abc.com的时候仍然会解析到shop.aliyun.com，而此时的shop.aliyun.com已经被攻击者控制了，攻击者就可以展开劫持攻击。在用户看来访问的shop.abc.com，拥有一个正常的可信的域名，基于这种信任，往往会造成更大的漏洞。