0x01 前言
在实战中,我们总会对一个企业进行资产收集,在这个过程中会收集到许多资产,有域名有 ip
但有的时候打开的域名指向的是一个内网 ip 非常无奈 😦
而打开的 ip 状态码更是直接显示 400,403,404 禁止我们访问
还有一种状态码显示 200 但是输入啥都没啥变化的
同时对它们进行目录扫描,也是常常没有结果
那么这种情况下, HOST 碰撞技术就可以尝试使用了
0x02 host 碰撞原理
当数据包的 host 头替换为某个域名时在访问该反代服务器的 ip, 如果 nginx/Apache 的反向代理的 host 配置没删除,就会把请求转发到内网对应的 host 业务服务器上, 接着返回该业务的信息, 实现本该隐藏的业务访问
简单点就是: 当数据包的 host 头替换为某个域名时在访问时该反代服务器的 ip, 如果页面发生了变化,返回了对应的资源, 即可判断为存在 host 碰撞
0x03 host 碰撞什么时候存在?
1业务通过 DNS 解析到外网,后面删除了 A 记录(但是 nginx/Apache 的反向代理还没删除)
2测试业务(不对外开放的业务,只流传于开发或是测试使用)
0x04 什么样的 ip 能进行 host 碰撞?
这里我看网上很多人写文章都是写 ip 状态码为 40X 的时候,在进行 host 碰撞
但是我想说,这不一定正确!!!
实际上,我认为应该改为任何一个 ip 都有 host 碰撞的价值!!!
这个点的问题在于,现在很多较大的公司比较流行,资产统一把控,也就是自己所有的资产全部收缩进内网
然后整个 nginx 或是 Apache 服务器,想对外网开放某个资产的时候就通过这个反代服务器新添加个配置映射出去
这就导致了一个问题, 那就是如果配置不当了, 忘记删除这台 nginx 或是 Apache 服务器的域名指向了
那么我们通过修改 host 就可以重新访问这些以前在外网后面被收缩进内网的资产了
例如说:
现在外网有个 ip: 47.10.10.1(虚构的)
它的域名为: testmiao.com
现在它对映射规则配置不当了
然后打开状态码显示 200,出现的是一个站点,返回的数据为一段 json
对外映射的: a.testmiao.com
对外映射的: b.testmiao.com
内部 nginx/Apache 还映射的: oa.testmiao.com
那么这种情况下如果我们进行爆破式 host 碰撞
撞了一个 oa.testmiao.com 进去
那么 nginx 或是 Apache 服务器接收到这个 host: oa.testmiao.com
直接去请求了这个所谓的被收缩进内网的资源,然后返回
这种情况, 我对大公司进行测试时, 已经发现不下于三次
因此我认为只要是个 ip 能够访问,那么它就有进行 host 碰撞的价值
当然这个是我自己个人实战经验,读者们看个乐乎就好了 😃
0x05 host 碰撞检测方法-思路
网上大佬是遇到 40X,或是收集到了内网域名在进行 host 碰撞
这里我的检测方法对比网上那些大佬的比较泛~~
我的检测方法是:
第一步:
收集目标域名
PS: 内外网的域名都要
第二步:
收集目标 ip 段
第三步:
将外网域名保存为一个 hostList.txt 备用
第四步:
将外网域名全部 ping 一下获取一下 ip,并将收集到的目标 ip 段加外网域名 ip 段保存为一个 ipList.txt 备用
PS: 只要外网可访问的 ip 哦
第五步:
将收集到的 ipList.txt 与 hostList.txt 进行 host 碰撞检测
第六步:
将可以互相解析的 ip 提取出来
例如:
域名: aa.testmiao.com 解析的 ip: 42.169.88.55
域名: bb.testmiao.com 解析的 ip: 42.142.165.49
ip:42.169.88.55 修改 host 为:bb.testmiao.com
然后打开: bb.testmiao.com 显示的还是 bb.testmiao.com 的内容
这就说明有价值了 :)
第七步:
重点测试提取的 ip 进行 host 碰撞爆破
例如:
域名: aa.testmiao.com 解析的 ip: 42.169.88.55
自己构造常见的内网重要的域名
如:
oa.testmiao.com
user.testmiao.com
mail.testmiao.com
sso.testmiao.com
portal.testmiao.com
0x06 host 碰撞检测方法-实际
测试方法的话,我这里提供两种比较高效的测试方法
0x06.1 测试数据
测试数据:
// 拿来做碰撞的 ip
域名: https://sso.testmiao.com 解析的 ip: 42.xxx.xxx.xxx
// 拿来做碰撞的 host
域名: vms.testmiao.com 解析的 ip: 10.xxx.xxx.xxx
域名: a.testmiao.com 解析的 ip: 无法解析(猜的内网可能有这个域名)
域名: b.testmiao.com 解析的 ip: 无法解析(猜的内网可能有这个域名)
域名: c.testmiao.com 解析的 ip: 无法解析(猜的内网可能有这个域名)
域名: d.testmiao.com 解析的 ip: 无法解析(猜的内网可能有这个域名)
域名: scm.testmiao.com 解析的 ip: 118.xx.xxx.xxx
0x06.2 方法一 - 使用工具 HostCollision
下载地址: https://github.com/pmiaowu/HostCollision
下载完毕以后
第一步:
打开 HostCollision/dataSource 目录
将: ipList.txt 与 hostList.txt 分别填写进对应的数据(一行一个)
第二步:
打开 HostCollision 目录
执行命令: java -jar HostCollision.jar
执行完毕以后会在根目录生成一个 年-月-日_8 位随机数 csv/txt 文件
里面会保存碰撞成功的结果
0x06.3 方法二 - 使用 burp
但是这个方法,只能一个 ip 一个 ip 的测试,无法批量 host 爆破
第一步: 找一个你认为有漏洞 ip 我拿的测试数据的 42.xxx.xxx.xxx
第二步: 将找到的 host 保存成一个 hostList.txt 分别填写进对应的数据(一行一个)
第三步: 构造数据包如下图
有了这个包以后,发送到测试器里面进行 host 爆破
0x06.4 浏览器访问的方法
0x06.4.1 方法一 - 系统 hosts 文件修改
这里就教如何利用 windows 访问对应的站点
例如:
ip: 42.xxx.xxx.xxx
host: vms.testmiao.com
打开文件: C:\Windows\System32\Drivers\etc\hosts
0x06.4.1 方法二 - 使用 burp
如果还看不明白,这里也有中文版的可以看一眼
0x07 总结
1. 收集一些内网常见的重要域名
例如:
oa.testmiao.com
user.testmiao.com
mail.testmiao.com
sso.testmiao.com
portal.testmiao.com
2. 尽量多可能的收集目标所有可对外访问的 ip
3. 尽量多可能的收集目标的域名
4. 下载 HostCollision
5. 等待老天爷的宠幸~~~~
要是前面的文章还看不是很懂的话,可以看看这张网站访问流程的图会更加清晰
多试试总会成功的 😃
END
零基础网络安全/黑客学习计划
学习路线图大纲总览
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴文末免费领取哦,无偿分享!!!
【一一帮助网络安全学习,以下所有资源文末免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
扫一扫
2772
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
