hostscan
简介
自动化Host碰撞工具,帮助红队快速扩展网络边界,获取更多目标点
背景
很多时候,访问目标网站时,使用其真实IP无法访问,只有域名才能访问到后端业务服务。这是因为反代服务器(如nginx)配置了禁止直接IP访问。
nginx后面的业务有时是隐藏的:
-
不开放到外网的业务,如测试业务
-
原来DNS解析到外网,但是后来删除了A记录(nginx后的业务没删除,转移到了内网访问)
怎么访问这些隐藏的业务呢?这就需要今天的主角登场了--Host碰撞技术
使用示例
./hostscan -d test.com -i 127.0.0.1:3333./hostscan -D input/hosts.txt -I input/ips.txt -O out/output.txt -T 5 -t 10使用说明
请下载release中对应平台的版本运行
注意
-
默认并发数为3, 如果网络环境良好,请适当调大以增加速度,最高可以设置成rlimit数值
-
默认UserAgent使用的是
golang-hostscan/xxxx,可能留存扫描痕迹,可以使用参数'-U'来使用随机UA -
现已支持输入大文件的支持,无需担心OOM
hostscan --help/ )( / / ___)(_ _)/ ___) / __) / _ ( () __ (( O )___ )( ___ ( (__ / / /_)(_/ __/ (____/ (__) (____/ ___)_/_/_)__)Usage of hostscan:-DstringHostsinfile to test-IstringNginx Ipinfile to test-OstringOutputFile(default"result.txt")-TintThreadforHttp connection. (default3)-U Open to send random UserAgent to avoid bot detection.-dstringHost to test-istringNginx IP-tintTimeoutforHttp connection. (default5)-v Show hostscan version
运行截图
使用的测试环境是下一小节中介绍的
Host 碰撞成功
碰撞返回 400
测试环境
Docker
dockerpull vultarget/host_collisiondockerrun -it -p 3333:8080 --rm vultarget/host_collision
Nginx 配置
反代服务器 (核心)
server{listen8080default_server;server_name_;return400;}server{listen8080;server_nametest.com;location/ {proxy_passhttp://127.0.0.1:80;proxy_redirectoff;proxy_set_headerHost$host:$server_port;proxy_set_headerX-Real-IP$remote_addr;roothtml;indexindex.html index.htm;}access_loglogs/test.com.log;}
第一个server表示 host为空时,会返回400
第二个server表示 nginx会根据传入的host进行服务转发,访问test.com访问的业务为 127.0.0.1:80 上的服务
示例业务
server{listen80;server_namelocalhost;location/ {root/usr/share/nginx/html;indexindex.html index.htm;}error_page500502503504/50x.html;location= /50x.html {root/usr/share/nginx/html;}}
简单的nginx初始页面
工具下载地址
github下载链接:https://github.com/cckuailong/hostscan
原文始发于微信公众号(HACK之道):一款自动化Host碰撞工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论