实战 | 记一次HOSTS碰撞突破边界

admin
admin
admin
138883
文章
114
评论
2022年7月13日21:49:24评论162 views字数 1036阅读3分27秒阅读模式

0x00 引言

在渗透测试中,搜集了很多IP资产,端口也开放了WEB服务,但打开总是403 404 400错误,扫目录也扫不到东西。这时候可以尝试利用HOSTS碰撞技术突破其边界对其内网系统进行攻击。


0x01 HOSTS碰撞

什么是HOSTS碰撞,当直接访问IP回显4xx错误,直接指定HOST头为某个域名时访问该IP回显正常时,可判断可进行HOSTS碰撞。


当一些域名只允许在内网访问时,可通过这种碰撞直接突破边界限制,访问到内网系统进行下一步渗透测试。


0x02 配置不当

如Nginx、Apache中,都可通过配置文件进行域名绑定,如Nginx的default_server,Apache的httpd.conf配置中的ServerName。


直接访问IP是无法访问成功的,而访问其绑定的域名才可以访问成功。在访问域名的时候能够直接重定向服务器相关站点的目录下,即可成功访问。


0x03 如何利用

  • 搜集指向目标内网IP的域名

  • 搜集目标IP资产

  • 进行碰撞


最主要的是搜集指向内网IP的域名,可以通过OneForAll等工具搜集一些子域名,挑选出指向内网IP的域名,如下图所示,把这些内网IP对应的域名进行搜集。

项目地址:
https://github.com/shmilylty/OneForAll
实战 | 记一次HOSTS碰撞突破边界

然后搜集目标资产的IP,探测Web服务。
实战 | 记一次HOSTS碰撞突破边界


将探测到开放WEB服务的IP资产搜集起来。

然后通过某佬写的Hosts_scan,将搜集到的域名和IP分别放入hosts.txt和ip.txt(也可以在host中添加一些内网办公系统常用的子域名)运行,通过对比数据包大小和标题即可得到匹配成功的Host头与对应IP。

项目地址:

https://github.com/fofapro/Hosts_scan
实战 | 记一次HOSTS碰撞突破边界


也可对某个IP的Host头的值进行Fuzz
实战 | 记一次HOSTS碰撞突破边界


然后在Burp Proxy中的Options选项中设置好Host头的Replace规则
实战 | 记一次HOSTS碰撞突破边界


配置好并启用后通过浏览器设置Burp代理访问该IP后即可访问设置的内网系统。
实战 | 记一次HOSTS碰撞突破边界


可对内网系统进一步进行渗透测试。


参考资料:

nginx配置不当容易产生的安全问题https://www.cnblogs.com/sevck/p/11498

实战 | 记一次HOSTS碰撞突破边界



实战 | 记一次渗透拿下某儿童色情网站的经过


实战 | 记一次企业钓鱼演练


干货 | 2022年超全的安全知识库


实战 | 实战一次完整的BC网站渗透测试


文章来源:先知社区

作者:deep

如有侵权,请联系删除

实战 | 记一次HOSTS碰撞突破边界

原文始发于微信公众号(HACK学习君):实战 | 记一次HOSTS碰撞突破边界

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月13日21:49:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 记一次HOSTS碰撞突破边界https://cn-sec.com/archives/1173944.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息