host碰撞 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
90
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

host碰撞

进击的HACK 2022-08-15 10:51:41 407651

所属地上海

0x00 hosts碰撞

在渗透测试中，搜集了很多IP资产，端口也开放了WEB服务，但打开总是403 404 400错误，扫目录也扫不到东西。这时候可以尝试利用HOSTS碰撞技术突破其边界对其内网系统进行攻击。

什么是HOSTS碰撞，当直接访问IP回显4xx错误，直接指定HOST头为某个域名时访问该IP回显正常时，可判断可进行HOSTS碰撞。

当一些域名只允许在内网访问时，可通过这种碰撞直接突破边界限制，访问到内网系统进行下一步渗透测试。

HOST头攻击

从HTTP / 1.1开始，HTTP Host标头是必需的请求标头。它指定客户端要访问的域名。例如，当用户访问https://example.net/web-security时，其浏览器将组成一个包含Host标头的请求，如下所示：

GET /web-security HTTP/1.1
Host: example.net

在某些情况下，例如当请求由代理转发时，Host值可能会在到达预期的后端组件之前进行更改。也就发生了Host头攻击。

0x01 出现的原因

如Nginx、Apache中，都可通过配置文件进行域名绑定，如Nginx的default_server，Apache的httpd.conf配置中的ServerName。直接访问IP是无法访问成功的，而访问其绑定的域名才可以访问成功。在访问域名的时候能够直接重定向服务器相关站点的目录下，即可成功访问。

0x02 利用

搜集指向目标内网IP的域名
搜集目标IP资产
进行碰撞

最主要的是搜集指向内网IP的域名，可以通过OneForAll等工具搜集一些子域名，挑选出指向内网IP的域名，把这些内网IP对应的域名进行搜集。

https://github.com/shmilylty/OneForAll

然后搜集目标资产的IP，探测Web服务。探测web服务可以使用goby。

将探测到开放WEB服务的IP资产搜集起来。

然后通过Hosts_scan，将搜集到的域名和IP分别放入hosts.txt和ip.txt（也可以在host中添加一些内网办公系统常用的子域名）运行，通过对比数据包大小和标题即可得到匹配成功的Host头与对应IP。

https://github.com/fofapro/Hosts_scan

也可对某个IP的Host头的值进行Fuzz

然后在Burp Proxy中的Options选项中设置好Host头的Replace规则

配置好并启用后通过浏览器设置Burp代理访问该IP后即可访问设置的内网系统。

可对内网系统进一步进行渗透测试。

0x03 环境搭建

作为演示，nginx反代服务器和隐藏的业务在一起

docker pull vultarget/host_collision
docker run -it -p 3333:8080 --rm vultarget/host_collision

配置详解

nginx配置文件 -- 反代服务器

server {
    listen  8080  default_server;
    server_name _;
    return 400;
}
server {
    listen  8080;
    server_name test.com;


    location / {
        proxy_pass http://127.0.0.1:80;
        proxy_redirect off;
        proxy_set_header Host $host:$server_port;
        proxy_set_header X-Real-IP $remote_addr;
            root    html;
        index   index.html  index.htm;
    }
    access_log logs/test.com.log;
}

第一个server表示 host为空时，会返回400

第二个server表示 nginx会根据传入的host进行服务转发，访问test.com访问的业务为 127.0.0.1:80 上的服务。

nginx配置文件 -- 业务

server {
    listen       80;
    server_name  localhost;


    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }


    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }
}

简单的nginx初始页面。