安全矩阵

 找回密码
 立即注册
搜索
查看: 1615|回复: 0

利用HOSTS碰撞突破边界

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-6-28 09:16:42 | 显示全部楼层 |阅读模式
利用HOSTS碰撞突破边界
原文链接:利用HOSTS碰撞突破边界
deep 潇湘信安 2022-06-28 09:00 发表于湖南
                        声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
                        请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
                        

文章来源:先知社区(deep)
原文地址:https://xz.aliyun.com/t/9590


0x00 引言

在渗透测试中,搜集了很多IP资产,端口也开放了WEB服务,但打开总是403 404 400错误,扫目录也扫不到东西。这时候可以尝试利用HOSTS碰撞技术突破其边界对其内网系统进行攻击。

0x01 HOSTS碰撞

什么是HOSTS碰撞,当直接访问IP回显4xx错误,直接指定HOST头为某个域名时访问该IP回显正常时,可判断可进行HOSTS碰撞。

当一些域名只允许在内网访问时,可通过这种碰撞直接突破边界限制,访问到内网系统进行下一步渗透测试。

0x02 配置不当

如Nginx、Apache中,都可通过配置文件进行域名绑定,如Nginx的default_server,Apache的httpd.conf配置中的ServerName。

直接访问IP是无法访问成功的,而访问其绑定的域名才可以访问成功。在访问域名的时候能够直接重定向服务器相关站点的目录下,即可成功访问。

0x03 如何利用

  •         搜集指向目标内网IP的域名
  •         搜集目标IP资产
  •         进行碰撞

最主要的是搜集指向内网IP的域名,可以通过OneForAll等工具搜集一些子域名,挑选出指向内网IP的域名,如下图所示,把这些内网IP对应的域名进行搜集。

项目地址:
https://github.com/shmilylty/OneForAll


然后搜集目标资产的IP,探测Web服务。


将探测到开放WEB服务的IP资产搜集起来。

然后通过某佬写的Hosts_scan,将搜集到的域名和IP分别放入hosts.txt和ip.txt(也可以在host中添加一些内网办公系统常用的子域名)运行,通过对比数据包大小和标题即可得到匹配成功的Host头与对应IP。

项目地址:
https://github.com/fofapro/Hosts_scan


也可对某个IP的Host头的值进行Fuzz


然后在Burp Proxy中的Options选项中设置好Host头的Replace规则


配置好并启用后通过浏览器设置Burp代理访问该IP后即可访问设置的内网系统。


可对内网系统进一步进行渗透测试。

参考资料:nginx配置不当容易产生的安全问题
https://www.cnblogs.com/sevck/p/11498249.html
边界渗透中的小技巧
http://r3start.net/wp-content/up ... 019080916135087.pdf
利用火器DNS数据集进行hosts碰撞, 发现某厂商严重漏洞
https://articles.zsxq.com/id_s228po7lm8cz.htmlnginx 的 default_server
定义及匹配规则
https://segmentfault.com/a/1190000015681272

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 17:20 , Processed in 0.013684 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表