目录
从攻击者的视角来进行资产的梳理,采用全端口扫描+子域名收集的方式,识别所有的企业资产暴露面。但即使是这样,往往会因为配置错误或是未及时回收等原因,依然存在着一些隐形资产
Host碰撞原理
当数据包的host头替换为某个域名时在访问该反代服务器的ip,如果nginx/Apache的反向代理的host配置没删除,就会把请求转发到内网对应的host业务服务器上,接着返回该业务的信息,实现本该隐藏的业务访问
简单点就是:当数据包的host头替换为某个域名时在访问时该反代服务器的ip,如果页面发生了变化,返回了对应的资源,即可判断为存在host碰撞。 
Host碰撞判断技巧
Host碰撞什么时候存在
业务通过DNS解析到外网,后面删除了A记录(但是nginx/Apache的反向代理还没删除)
测试业务(不对外开放的业务,只流传于开发或是测试使用)什么样的IP能进行Host碰撞
观点:只要是个ip能够访问,那么它就有进行host碰撞的价值
例如说:
现在外网有个ip: 47.10.10.1(虚构的)
它的域名为: testmiao.com
现在它对映射规则配置不当了
然后打开状态码显示200,出现的是一个站点,返回的数据为一段json
对外映射的: a.testmiao.com
对外映射的: b.testmiao.com
内部nginx/Apache还映射的: oa.testmiao.com
那么这种情况下如果我们进行爆破式host碰撞
撞了一个oa.testmiao.com进去
那么nginx或是Apache服务器接收到这个 host: oa.testmiao.com
直接去请求了这个所谓的被收缩进内网的资源,然后返回Host碰撞检测方法
我的检测方法是:
第一步:
收集目标域名
PS: 内外网的域名都要
第二步:
收集目标ip段
第三步:
将外网域名保存为一个hostList.txt备用
第四步:
将外网域名全部ping一下获取一下ip,并将收集到的目标ip段加外网域名ip段保存为一个ipList.txt备用
PS: 只要外网可访问的ip哦
第五步:
将收集到的ipList.txt 与 hostList.txt进行host碰撞检测
第六步:
将可以互相解析的ip提取出来
例如:
域名: aa.testmiao.com 解析的ip: 42.169.88.55
域名: bb.testmiao.com 解析的ip: 42.142.165.49
ip:42.169.88.55 修改host为:bb.testmiao.com
然后打开: bb.testmiao.com 显示的还是 bb.testmiao.com 的内容,这就说明有价值了 :)
第七步:
重点测试提取的ip进行host碰撞爆破
例如:
域名: aa.testmiao.com 解析的ip: 42.169.88.55
自己构造常见的内网重要的域名
如:
oa.testmiao.com
user.testmiao.com
mail.testmiao.com
sso.testmiao.com
portal.testmiao.comHost碰撞实验步骤
1、在Kali或者centos7上安装Docker并进行环境部署
service docker start //开启docker
docker pull vultarget/host_collision //拉取镜像
docker run -it -p 3333:8080 --rm vultarget/host_collision //启动后会进入卡顿说明正常2、访问容器地址并回显状态码400的页面
http://127.0.0.1:3333/
3、在互联网上收集该目标的域名资产并使用以下Host碰撞脚本进行测试
下载压缩包
https://github.com/fofapro/Hosts_scan.git
4、然后拖进虚拟机解压
unzip Hosts_scan-master.zip 
5、在火狐浏览器插件商店搜索modify,下载第一个
(谷歌浏览器的插件是Modheader)
添加Host~test.com
6、访问机器ip(要加端口)
7、修改Hosts_scan-master文件夹的ip.txt和host.txt文件,在ip.txt添加刚才拉取镜像开启镜像的那台机器的ip,在host.txt添加test.com
8、在Hosts_scan-master目录下打开终端
python3 IP_hosts_scan_multithreading.py 