Nuevos labs cada semana — Accede a todos desde 7,99€/mes

>Inicio>Labs>New labs>Creators>Ranking>Aprender>Empresa>Precios
Iniciar SesiónCrear Cuenta

Labs de Subdomain Takeover

Subdomain Takeover

¿Qué es Subdomain Takeover?

El Subdomain Takeover ocurre cuando un subdominio apunta (vía CNAME) a un servicio externo que ya no existe o no está reclamado. El atacante registra ese recurso y sirve contenido bajo el subdominio legítimo, habilitando phishing, robo de cookies y bypass de CORS/OAuth.

¿Por qué practicar Subdomain Takeover?

Las empresas grandes acumulan cientos de subdominios apuntando a servicios cloud que un día se dieron de baja sin limpiar el DNS. Reclamarlos es relativamente mecánico pero de alto impacto: un subdominio tomado rompe la confianza de cookies, CORS y OAuth de todo el dominio padre. Bounties típicos: $500-$5,000.

¿Qué aprenderás con los labs de Subdomain Takeover?

Aprenderás a enumerar subdominios a escala, detectar CNAMEs colgantes, hacer fingerprinting de la huella de un servicio no reclamado (NoSuchBucket de S3, 404 de GitHub Pages), reclamar el recurso de forma segura y demostrar impacto sin causar daño.

Tipos de Subdomain Takeover que cubrimos

  • S3 bucket colgante

    CNAME a un bucket S3 que ya no existe. Creas un bucket con el mismo nombre y sirves tu contenido.

  • GitHub/GitLab Pages

    Subdominio apuntando a un repo Pages eliminado. Reclamas el nombre en tu cuenta y publicas tu site.

  • PaaS no reclamado

    CNAME a Heroku, Azure, Fastly, Shopify... con la app borrada. Registras el mismo identificador en el proveedor.

  • NS takeover

    Caso raro y grave: la delegación NS apunta a una zona en un proveedor donde puedes recrearla, controlando todo el subdominio.

¿Cómo encontrar y explotar Subdomain Takeover?

Playbook práctico — del recon a la prueba de concepto.

  1. 1

    Enumerar subdominios

    Recoge el máximo de subdominios del objetivo con fuentes pasivas y brute force. Cuantos más, más probabilidad de encontrar uno colgante.

    subfinder -d target.com -all | tee subs.txt
  2. 2

    Resolver y buscar CNAMEs

    Resuelve cada subdominio y quédate con los que tienen un CNAME hacia un servicio de terceros. Esos son los candidatos.

    dig CNAME app.target.com +short   →   target.s3.amazonaws.com
  3. 3

    Detectar la huella de servicio muerto

    Visita el subdominio y busca el mensaje de error característico del proveedor que indica recurso no reclamado.

    curl -s https://app.target.com → "NoSuchBucket" (S3) / "There isn't a GitHub Pages site here"
  4. 4

    Confirmar con herramientas

    Valida el hallazgo con un escáner que conoce las firmas de cada servicio para evitar falsos positivos.

    subzy run --targets subs.txt   ·   nuclei -t takeovers -l subs.txt
  5. 5

    Reclamar el recurso (PoC limpio)

    Registra el recurso (bucket/repo/app) con el mismo identificador y sirve una página inofensiva con tu identificador de bug bounty.

    Crear bucket S3 'target' y subir poc.html con tu HackerOne handle

Aprende la teoría

Academy: Reconocimiento & Info Disclosure

Cargando labs...

Ver en catálogo completo →

Preguntas frecuentes

¿Qué es un Subdomain Takeover?

Es cuando un subdominio de una organización apunta (normalmente vía CNAME) a un servicio externo que ya no existe o no está reclamado. Un atacante registra ese recurso y pasa a servir contenido bajo el subdominio legítimo de la víctima.

¿Cómo se explota un Subdomain Takeover?

Se detecta un CNAME colgante hacia un servicio (S3, GitHub Pages, Heroku) que muestra una huella de 'recurso no reclamado', y se registra ese mismo recurso en el proveedor con el identificador esperado. A partir de ahí controlas el contenido del subdominio.

¿Cómo encontrar Subdomain Takeover en bug bounty?

Enumera subdominios con subfinder/amass, resuelve sus CNAMEs y busca apuntar a servicios de terceros. Identifica las páginas de error características de recurso no reclamado y confírmalo con subzy o nuclei antes de reclamarlo de forma controlada.

¿Cómo prevenir un Subdomain Takeover?

Mantén un inventario del DNS, elimina los registros CNAME/ALIAS en cuanto des de baja un servicio cloud, automatiza el monitoreo de subdominios colgantes y evita delegaciones a recursos que puedas perder sin actualizar el DNS.

¿Por qué es grave un Subdomain Takeover si solo es un subdominio?

Porque hereda la confianza del dominio padre: permite phishing creíble, robar cookies de dominio (.target.com), pasar allowlists de CORS basadas en subdominio y abusar de redirect_uri de OAuth con wildcard de subdominio, escalando el impacto a la app principal.

Otras categorías relacionadas

CORS

CORS Misconfiguration

Open Redirect

Open Redirect

OAuth

OAuth 2.0 / SSO Attacks

→ Ver todas las vulnerabilidades→ Academy gratuita→ Precios desde 7,99€/mes

Empieza con labs de Subdomain Takeover

Practica Subdomain Takeover con labs basados en reportes reales. En español. Desde 7,99€/mes.

Empieza con el primer lab de Subdomain Takeover