隐藏资产发现技术：Host头碰撞检测方法详解

技术概述

Host头碰撞（Host Header Collision）是一种通过修改HTTP请求中的Host头字段来发现隐藏资产的技术。这种方法能够：

1. 发现被隐藏但未删除的Web应用
2. 绕过云WAF防护，识别真实服务器IP
3. 发现未正确配置DNS解析但仍在运行的Web服务

核心原理

通过直接向已知服务器IP发送HTTP请求，但修改Host头为猜测的子域名，根据响应差异判断该子域名是否存在有效网站。

工具准备

推荐工具

1. vhostbrute：https://github.com/allyshka/vhostbrute
2. Hosts_scan：https://github.com/fofapro/Hosts_scan
3. hostscan：https://github.com/cckuailong/hostscan

字典准备

需要准备包含常见子域名的字典文件（如sub.txt），内容示例：

admin
dev
test
vulns
staging
prod

操作步骤

1. 信息收集

• 确定目标主域名（如xazlsec.com）
• 获取该域名下已知网站的IP地址（如47.94.225.171）

2. 执行扫描

使用vhostbrute执行扫描：

python vhostbrute.py -u xazlsec.com -r 47.94.225.171 -d sub.txt

3. 结果分析

检查工具输出，关注：

• 返回状态码为200的子域名
• 返回内容长度与其他子域名明显不同的
• 返回内容包含特定关键词（如"登录"、"管理"等）

4. 验证访问

对于发现的隐藏子域名（如vulns.xazlsec.com）：

1. 修改本地hosts文件：

47.94.225.171 vulns.xazlsec.com

2. 通过浏览器直接访问该子域名

技术细节

HTTP请求示例

GET / HTTP/1.1
Host: vulns.xazlsec.com
[...其他头字段...]

检测逻辑

• 发送相同请求到同一IP，仅修改Host头
• 比较响应内容/状态码的差异
• 响应差异显著则判定该子域名存在有效网站

应用场景

1. 遗留系统发现：DNS记录已删除但应用仍在运行
2. 云WAF绕过：发现被云WAF保护的原始服务器IP
3. 测试环境暴露：未公开但可访问的开发/测试环境
4. 内部系统暴露：本应内部访问但意外暴露的系统

防御措施

1. 服务器配置应拒绝未正确配置Host头的请求
2. 及时清理不再使用的Web应用
3. 对敏感子域名实施IP白名单访问控制
4. 监控服务器日志中的异常Host头请求

进阶技巧

1. 结合子域名爆破工具（如subfinder、amass）生成更全面的字典
2. 尝试非标准端口（如8080、8443等）
3. 结合证书透明度日志发现更多潜在子域名
4. 使用HTTPS协议进行检测，避免HTTP重定向干扰

注意事项

1. 获取授权后再进行测试
2. 控制请求频率，避免对目标服务器造成影响
3. 记录完整测试过程，便于报告编写
4. 发现漏洞后及时报告，不要擅自利用

通过这种方法，安全人员可以更全面地评估目标系统的暴露面，发现潜在的安全风险。