看了下303(大壮老哥的文章:https://t.zsxq.com/N3BeI6Q),就尝试测了下这个洞

假设厂商是huoxian.cn

一、收集厂商ip

火线、fofa、socket都可以

以下是简单的通过socket获取ip的示意代码

def getipsocket0(domain):ip = []try:s = socket.getaddrinfo(domain, 80)for i in s:ip.append(i[4][0])except:passreturn ip

二、整理获取的ip

并且统计C段内保护的ip数量,多个ip在一个C端,超过一定阈值时,就猜测整个C端很可能都是厂商的

1.1.1 50

2.2.2 40

3.3.3 18

假设最后收集到如下高可能性的C段:

1.1.1

2.2.2

3.3.3

三、收集尽可能多的子域名资产

例如去火线上收集,或者自己爆破dns获取一些

例如我收集到以下资产:

a.huoxian.cn

b.huoxian.cn

...

zzz-123.huoxian.cn

尤其关注其中直接解析得到内网地址的(应该没错吧):

192.168*

172.16-31*

10.*

例如

a.huoxian.cn 10.10.0.123

b.huoxian.cn 172.16.33.22

四、写一个简单的hosts碰撞脚本

不会代码的可以参考我写的脚本思路,请在授权访问内合法测试,也不负责任何售后维护

import requests
import bs4
import lxml
from multiprocessing.dummy import Pool
requests.packages.urllib3.disable_warnings()
global c
def demo(ip_host):# 计数器global cheaders = {'Host': ip_host[1],'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36'}try:r=requests.get(ip_host[0],headers=headers,verify=Fasle)if len(r.text) > 0:try:t = bs4.BeautifulSoup(r.text,'lxml').find("title").stringexcept:t = "notitle"print(ip_host[0]," mkdd1211 ",ip_host[1]," mkdd1211 ",len(r.text)," mkdd1211 ",t)  # 打印出来放在exel,mkdd1211用来替换成分列符号except:passc=c-1if c%1000==0:  # 这个1000表示每1000次打印一下当前剩余的请求,便于你知道还有多久跑完,可以根据总请求调整print(c)def make_payload(ips,hosts):payload=[]for ip in ips:for host in hosts:payload.append(("https://"+ip,host))payload.append(("http://"+ip,host))return payloaddef make_payload_c(ips_c,hosts):payload=[]u = []for i in range(256):for ip in ips_c:u.append(ip+"."+str(i))for ip in u:for host in hosts:payload.append(("https://"+ip,host))payload.append(("http://"+ip,host))return payload# ips=["1.1.1.1","2.2.2.2"]
# d=make_payload(ips,hosts) #可以先用ip跑一下,没有收获选择跑C段ipc = ["1.1.1","2.2.2"]
hosts=["a.huoxian.cn","b.huoxian.cn","c.huoxian.cn"]
d=make_payload_c(ipc,hosts)c=len(d)
print(len(d))
with Pool(200) as p:p.map(demo,d)

五**、原始ip特征获取**

这边可以先访问下ip段内所有的ip,记录下长度和标题或者状态码等

例如

http://1.1.1.1 长度:1234 标题:nothing

http://1.1.1.9 长度:250 标题:wrong

..

http://1.1.1.233 长度15

六、结果分析

ip和域名塞进去进行跑就完事儿,然后得到一大堆结果,继续分析

a.huoxian.cn http://1.1.1.1 长度:1234 标题:nothing

b.huoxian.cn http://1.1.1.1 长度:1234 标题:nothing

b.huoxian.cn http://1.1.1.9 长度:23540 标题:火线内部运维系统

b.huoxian.cn http://1.1.1.9 长度:250 标题:wrong

...

仔细看发现有一条,我原先直接访问ip只得到一个错误返回长度:250 标题:wrong,当我强行把b.huoxian.cn解析到1.1.1.9时,我发现居然返回了23540长度,标题也变成火线内部运维系统

b.huoxian.cn http://1.1.1.9 长度:23540 标题:火线内部运维系统

七、编辑本地hosts文件

1.1.1.9 b.huoxian.cn

八、浏览器再访问b.huoxian.cn

9、继续利用这个方法,我找到了该厂商150个可以从公网直接访问的内网域名,简单看了下各种未授权、信息泄露,理论上深入看的话rce应该不难(理论大师)

加油
  • 官网:https://huoxian.cn
  • 火线安全平台:
  • 火线Zone

如何利用hosts碰撞技术遨游内网web系统相关推荐

  1. Nginx反向代理内网web系统找不到CSS,JS及图片问题解决方案

    一.背景介绍: 有个部署在内网的web单体应用,需要通过部署在DMZ区的Nginx访问到,由于需要复用现有的域名,所以只能是通过在Nginx上增加location的方式访问. 二.问题描述: 但是在访 ...

  2. 0 Maven中央仓库爬取技术与内网本地Maven中央仓库的建立与使用(引言)【力图解决一个非常蛋疼的问题】

    随着国产化CPU与操作系统的"流行",美中不足的就是没一个国产化的开发语言(呵呵),开源的Java开发也就如火如荼的开展起来.其实在互联网上开发Java的确很爽,海量的资源海量的库 ...

  3. JSoup模拟登录新版正方教务系统(内网-教务系统)获取信息过程详解

    新版正方教务系统登录界面: 目录 一.需求分析 二.模拟登录内网 三.模拟登录教务系统 四.爬取成绩和课表信息 参考文章 一.需求分析   需要访问教务系统,爬取出课表成绩等信息,并在自己所写的APP ...

  4. it系统应急响应流程图_智能自动化的内网应用系统应急响应处置的方法与流程...

    本发明涉及计算机数据安全技术领域,特别是涉及一种智能自动化的内网应用系统应急响应处置的方法. 背景技术: 随着电网企业信息化建设的快速发展,电网根据业务要求,部署和实施了多套应用系统,同时也需要大量的 ...

  5. 华为pat地址转换,以及内网web服务器发布

    实验名称:华为pat地址转换,以及内网web服务器发布 实验拓扑图: 3. 实验目的 : 1.使内网通过pat转化出去上外网 2.使用静态pat做端口映射,发布web服务器 3.配置交换机远程登录 4 ...

  6. frps 多个_同时穿透多个内网web服务,提示冲突

    What version of frp are you using (./frpc -v or ./frps -v)? 0.27.1 What operating system and process ...

  7. 【转载】设置端口映射或DMZ主机---将内网web服务器映射入公网

    设置端口映射或DMZ主机---将内网web服务器映射入公网 原链接 https://blog.csdn.net/qq_31739317/article/details/75008375 总的来说,原理 ...

  8. LaneCat网猫内网监管系统

    <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />  LaneCa ...

  9. 【群晖NAS】 利用云服务器 FRP技术 实现内网穿透

    一. 前言 我在之前的文章有介绍过使用服务商提供的内网穿透,但是这也存在着一些缺点,有的服务商提供的节点并不稳定,容易掉线,一旦掉线,就直接与机器"失联"了. 因为我本身有一台云服 ...

最新文章

  1. unity 200.8m yoy_专场分享会|大会最新Unity、中创文旅专场预告来啦!
  2. python3 下划线的5中含义
  3. 一个故事讲清楚 NIO
  4. 产品推广系统推荐乐云seo_优化推广公司红利产品推荐“爱采购cpc竞价版”
  5. 浅析Java中对象的创建与对象的数据类型转换
  6. 关于MySQL 8.0
  7. linux系统硬盘设置密码,LUKS:Linux下磁盘加密
  8. 迭代终止准则的三种形式_一种经验模态分解筛选迭代过程终止准则的方法与流程...
  9. chromedriver不在路径的解决办法
  10. 十一款游戏教你学会 CSS!
  11. MFC中的CFileFind类
  12. 共享智能榨汁机器人_新橙派果汁机器人-让智能现榨果汁触手可及
  13. mysql 主从ppt_MYSQL主从复制和读写分离.ppt
  14. 《Java并发编程实战》读书笔记-第5章 基础构建模块
  15. 华为机试题 2014
  16. Javascript基础之-var,let和const深入解析(二) - 三者的规范描述、临时死区 (TDZ)、双定义
  17. 网传美团今年应届生年薪 35w+,严重倒挂老员工,为什么互联网大厂校招的薪资一年比一年高?
  18. python设置背景颜色为豆绿色_eclipse 设置豆沙绿保护色,保护眼睛
  19. python操作xslx/xsl出现‘\xa0‘和读取时间变成float类型的处理办法
  20. 计算机主板现状及发展趋势论文,2020年计算机主板发展趋势分析 2020-2026年全球与中国计算机主板市场深度调研与发展趋势分析...

热门文章

  1. 2021-07-04 【5】
  2. 怎么用计算机解锁,一加6T解锁BL教程,利用电脑进行一键解锁Bootloader操作
  3. python ppt 图片_python ppt转图片
  4. 威力导演注册机|威力导演(Cyberlink PowerDirector)15破解工具下载
  5. codevs 2382 [CSTC2007] 挂缀 贪心
  6. MYSQL数据库下载安装(Windows版本)
  7. 赵小楼《天道》《遥远的救世主》深度解析(111)人是需要社会认同感和存在感的
  8. Python项目实战 —— 04. 淘宝用户行为分析
  9. linux命令行 随机排列,有趣的Linux命令行:随机输出唐诗宋词
  10. 国内支持原生android吗,定制安卓和原生Android到底有哪些不同之处?彻底真相了...