目录

Host碰撞原理

Host碰撞判断技巧

Host碰撞检测方法

Host碰撞实验步骤

---

从攻击者的视角来进行资产的梳理，采用全端口扫描+子域名收集的方式，识别所有的企业资产暴露面。但即使是这样，往往会因为配置错误或是未及时回收等原因，依然存在着一些隐形资产

Host碰撞原理

当数据包的host头替换为某个域名时在访问该反代服务器的ip，如果nginx/Apache的反向代理的host配置没删除，就会把请求转发到内网对应的host业务服务器上，接着返回该业务的信息，实现本该隐藏的业务访问
简单点就是：当数据包的host头替换为某个域名时在访问时该反代服务器的ip，如果页面发生了变化，返回了对应的资源，即可判断为存在host碰撞。

 

Host碰撞判断技巧

Host碰撞什么时候存在

业务通过DNS解析到外网，后面删除了A记录(但是nginx/Apache的反向代理还没删除)
测试业务(不对外开放的业务,只流传于开发或是测试使用)

什么样的IP能进行Host碰撞

观点：只要是个ip能够访问,那么它就有进行host碰撞的价值
例如说:
现在外网有个ip: 47.10.10.1(虚构的)
它的域名为: testmiao.com
现在它对映射规则配置不当了
然后打开状态码显示200,出现的是一个站点,返回的数据为一段json

对外映射的: a.testmiao.com
对外映射的: b.testmiao.com
内部nginx/Apache还映射的: oa.testmiao.com

那么这种情况下如果我们进行爆破式host碰撞
撞了一个oa.testmiao.com进去
那么nginx或是Apache服务器接收到这个 host: oa.testmiao.com
直接去请求了这个所谓的被收缩进内网的资源,然后返回

Host碰撞检测方法

我的检测方法是:
第一步:
  收集目标域名
  PS: 内外网的域名都要
第二步:
  收集目标ip段
第三步:
  将外网域名保存为一个hostList.txt备用
第四步:
  将外网域名全部ping一下获取一下ip,并将收集到的目标ip段加外网域名ip段保存为一个ipList.txt备用
  PS: 只要外网可访问的ip哦
第五步:
  将收集到的ipList.txt 与 hostList.txt进行host碰撞检测
第六步:
  将可以互相解析的ip提取出来
  例如:
  域名: aa.testmiao.com 解析的ip: 42.169.88.55
  域名: bb.testmiao.com 解析的ip: 42.142.165.49
  ip:42.169.88.55 修改host为:bb.testmiao.com
  然后打开: bb.testmiao.com 显示的还是 bb.testmiao.com 的内容，这就说明有价值了 :)
第七步:
  重点测试提取的ip进行host碰撞爆破
  例如:
  域名: aa.testmiao.com 解析的ip: 42.169.88.55
  自己构造常见的内网重要的域名
  如:
  oa.testmiao.com
  user.testmiao.com
  mail.testmiao.com
  sso.testmiao.com
  portal.testmiao.com

Host碰撞实验步骤

1、在Kali或者centos7上安装Docker并进行环境部署

service docker start	//开启docker
docker pull vultarget/host_collision	//拉取镜像
docker run -it -p 3333:8080 --rm vultarget/host_collision 	//启动后会进入卡顿说明正常

2、访问容器地址并回显状态码400的页面

http://127.0.0.1:3333/

3、在互联网上收集该目标的域名资产并使用以下Host碰撞脚本进行测试

下载压缩包

https://github.com/fofapro/Hosts_scan.git

4、然后拖进虚拟机解压

unzip Hosts_scan-master.zip 

5、在火狐浏览器插件商店搜索modify，下载第一个

（谷歌浏览器的插件是Modheader）

添加Host~test.com

6、访问机器ip（要加端口）

7、修改Hosts_scan-master文件夹的ip.txt和host.txt文件，在ip.txt添加刚才拉取镜像开启镜像的那台机器的ip，在host.txt添加test.com

8、在Hosts_scan-master目录下打开终端

python3 IP_hosts_scan_multithreading.py