如何利用hosts碰撞技术遨游内网web系统
看了下303(大壮老哥的文章:https://t.zsxq.com/N3BeI6Q),就尝试测了下这个洞
假设厂商是huoxian.cn
一、收集厂商ip
火线、fofa、socket都可以
以下是简单的通过socket获取ip的示意代码
def getipsocket0(domain):ip = []try:s = socket.getaddrinfo(domain, 80)for i in s:ip.append(i[4][0])except:passreturn ip
二、整理获取的ip
并且统计C段内保护的ip数量,多个ip在一个C端,超过一定阈值时,就猜测整个C端很可能都是厂商的
1.1.1 50
2.2.2 40
3.3.3 18
假设最后收集到如下高可能性的C段:
1.1.1
2.2.2
3.3.3
三、收集尽可能多的子域名资产
例如去火线上收集,或者自己爆破dns获取一些
例如我收集到以下资产:
a.huoxian.cn
b.huoxian.cn
...
zzz-123.huoxian.cn
尤其关注其中直接解析得到内网地址的(应该没错吧):
192.168*
172.16-31*
10.*
例如
a.huoxian.cn 10.10.0.123
b.huoxian.cn 172.16.33.22
四、写一个简单的hosts碰撞脚本
不会代码的可以参考我写的脚本思路,请在授权访问内合法测试,也不负责任何售后维护
import requests
import bs4
import lxml
from multiprocessing.dummy import Pool
requests.packages.urllib3.disable_warnings()
global c
def demo(ip_host):# 计数器global cheaders = {'Host': ip_host[1],'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36'}try:r=requests.get(ip_host[0],headers=headers,verify=Fasle)if len(r.text) > 0:try:t = bs4.BeautifulSoup(r.text,'lxml').find("title").stringexcept:t = "notitle"print(ip_host[0]," mkdd1211 ",ip_host[1]," mkdd1211 ",len(r.text)," mkdd1211 ",t) # 打印出来放在exel,mkdd1211用来替换成分列符号except:passc=c-1if c%1000==0: # 这个1000表示每1000次打印一下当前剩余的请求,便于你知道还有多久跑完,可以根据总请求调整print(c)def make_payload(ips,hosts):payload=[]for ip in ips:for host in hosts:payload.append(("https://"+ip,host))payload.append(("http://"+ip,host))return payloaddef make_payload_c(ips_c,hosts):payload=[]u = []for i in range(256):for ip in ips_c:u.append(ip+"."+str(i))for ip in u:for host in hosts:payload.append(("https://"+ip,host))payload.append(("http://"+ip,host))return payload# ips=["1.1.1.1","2.2.2.2"]
# d=make_payload(ips,hosts) #可以先用ip跑一下,没有收获选择跑C段ipc = ["1.1.1","2.2.2"]
hosts=["a.huoxian.cn","b.huoxian.cn","c.huoxian.cn"]
d=make_payload_c(ipc,hosts)c=len(d)
print(len(d))
with Pool(200) as p:p.map(demo,d)
五**、原始ip特征获取**
这边可以先访问下ip段内所有的ip,记录下长度和标题或者状态码等
例如
http://1.1.1.1 长度:1234 标题:nothing
http://1.1.1.9 长度:250 标题:wrong
..
http://1.1.1.233 长度15
六、结果分析
ip和域名塞进去进行跑就完事儿,然后得到一大堆结果,继续分析
a.huoxian.cn http://1.1.1.1 长度:1234 标题:nothing
b.huoxian.cn http://1.1.1.1 长度:1234 标题:nothing
b.huoxian.cn http://1.1.1.9 长度:23540 标题:火线内部运维系统
b.huoxian.cn http://1.1.1.9 长度:250 标题:wrong
...
仔细看发现有一条,我原先直接访问ip只得到一个错误返回长度:250 标题:wrong,当我强行把b.huoxian.cn解析到1.1.1.9时,我发现居然返回了23540长度,标题也变成火线内部运维系统
b.huoxian.cn http://1.1.1.9 长度:23540 标题:火线内部运维系统
七、编辑本地hosts文件
1.1.1.9 b.huoxian.cn
八、浏览器再访问b.huoxian.cn
9、继续利用这个方法,我找到了该厂商150个可以从公网直接访问的内网域名,简单看了下各种未授权、信息泄露,理论上深入看的话rce应该不难(理论大师)
加油
- 官网:https://huoxian.cn
- 火线安全平台:
- 火线Zone
如何利用hosts碰撞技术遨游内网web系统相关推荐
- Nginx反向代理内网web系统找不到CSS,JS及图片问题解决方案
一.背景介绍: 有个部署在内网的web单体应用,需要通过部署在DMZ区的Nginx访问到,由于需要复用现有的域名,所以只能是通过在Nginx上增加location的方式访问. 二.问题描述: 但是在访 ...
- 0 Maven中央仓库爬取技术与内网本地Maven中央仓库的建立与使用(引言)【力图解决一个非常蛋疼的问题】
随着国产化CPU与操作系统的"流行",美中不足的就是没一个国产化的开发语言(呵呵),开源的Java开发也就如火如荼的开展起来.其实在互联网上开发Java的确很爽,海量的资源海量的库 ...
- JSoup模拟登录新版正方教务系统(内网-教务系统)获取信息过程详解
新版正方教务系统登录界面: 目录 一.需求分析 二.模拟登录内网 三.模拟登录教务系统 四.爬取成绩和课表信息 参考文章 一.需求分析 需要访问教务系统,爬取出课表成绩等信息,并在自己所写的APP ...
- it系统应急响应流程图_智能自动化的内网应用系统应急响应处置的方法与流程...
本发明涉及计算机数据安全技术领域,特别是涉及一种智能自动化的内网应用系统应急响应处置的方法. 背景技术: 随着电网企业信息化建设的快速发展,电网根据业务要求,部署和实施了多套应用系统,同时也需要大量的 ...
- 华为pat地址转换,以及内网web服务器发布
实验名称:华为pat地址转换,以及内网web服务器发布 实验拓扑图: 3. 实验目的 : 1.使内网通过pat转化出去上外网 2.使用静态pat做端口映射,发布web服务器 3.配置交换机远程登录 4 ...
- frps 多个_同时穿透多个内网web服务,提示冲突
What version of frp are you using (./frpc -v or ./frps -v)? 0.27.1 What operating system and process ...
- 【转载】设置端口映射或DMZ主机---将内网web服务器映射入公网
设置端口映射或DMZ主机---将内网web服务器映射入公网 原链接 https://blog.csdn.net/qq_31739317/article/details/75008375 总的来说,原理 ...
- LaneCat网猫内网监管系统
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> LaneCa ...
- 【群晖NAS】 利用云服务器 FRP技术 实现内网穿透
一. 前言 我在之前的文章有介绍过使用服务商提供的内网穿透,但是这也存在着一些缺点,有的服务商提供的节点并不稳定,容易掉线,一旦掉线,就直接与机器"失联"了. 因为我本身有一台云服 ...
最新文章
- unity 200.8m yoy_专场分享会|大会最新Unity、中创文旅专场预告来啦!
- python3 下划线的5中含义
- 一个故事讲清楚 NIO
- 产品推广系统推荐乐云seo_优化推广公司红利产品推荐“爱采购cpc竞价版”
- 浅析Java中对象的创建与对象的数据类型转换
- 关于MySQL 8.0
- linux系统硬盘设置密码,LUKS:Linux下磁盘加密
- 迭代终止准则的三种形式_一种经验模态分解筛选迭代过程终止准则的方法与流程...
- chromedriver不在路径的解决办法
- 十一款游戏教你学会 CSS!
- MFC中的CFileFind类
- 共享智能榨汁机器人_新橙派果汁机器人-让智能现榨果汁触手可及
- mysql 主从ppt_MYSQL主从复制和读写分离.ppt
- 《Java并发编程实战》读书笔记-第5章 基础构建模块
- 华为机试题 2014
- Javascript基础之-var,let和const深入解析(二) - 三者的规范描述、临时死区 (TDZ)、双定义
- 网传美团今年应届生年薪 35w+,严重倒挂老员工,为什么互联网大厂校招的薪资一年比一年高?
- python设置背景颜色为豆绿色_eclipse 设置豆沙绿保护色,保护眼睛
- python操作xslx/xsl出现‘\xa0‘和读取时间变成float类型的处理办法
- 计算机主板现状及发展趋势论文,2020年计算机主板发展趋势分析 2020-2026年全球与中国计算机主板市场深度调研与发展趋势分析...
热门文章
- 2021-07-04 【5】
- 怎么用计算机解锁,一加6T解锁BL教程,利用电脑进行一键解锁Bootloader操作
- python ppt 图片_python ppt转图片
- 威力导演注册机|威力导演(Cyberlink PowerDirector)15破解工具下载
- codevs 2382 [CSTC2007] 挂缀 贪心
- MYSQL数据库下载安装(Windows版本)
- 赵小楼《天道》《遥远的救世主》深度解析(111)人是需要社会认同感和存在感的
- Python项目实战 —— 04. 淘宝用户行为分析
- linux命令行 随机排列,有趣的Linux命令行:随机输出唐诗宋词
- 国内支持原生android吗,定制安卓和原生Android到底有哪些不同之处?彻底真相了...