HOST碰撞漏洞原理与利用完全指南<\/h1>

一、反向代理基础<\/h2>

1.1 反向代理概念<\/h3>

反向代理是一种服务器配置，它代理客户端的请求并将其转发到一个或多个后端服务器。在这种模式下：<\/p>

客户端不知道实际的后端服务器地址<\/li>
所有请求由反向代理服务器接收并转发<\/li>

处理结果通过反向代理返回给客户端<\/li> <\/ul>

访问流程对比<\/strong>：<\/p>

无反向代理<\/strong>：客户端 → 请求 → 服务器 → 响应 → 客户端<\/li>
有反向代理<\/strong>：客户端 → 请求 → 反向代理 → 服务器 → 响应 → 反向代理 → 客户端<\/li> <\/ul>
关键区别：有反向代理时不能直接通过IP访问服务器，域名DNS解析后也不是真实IP。<\/p>
1.2 主机与Host关系<\/h3>
单个Web服务器可以托管多个网站\/应用，这些网站可能：<\/p>

拥有不同域名<\/li>
共享同一个IP地址<\/li>
服务器通过HTTP请求中的Host头部字段确定要访问的网站<\/li> <\/ul>
服务器配置示例<\/strong>：<\/p>
Nginx<\/strong>：<\/p>

配置文件：\/etc\/nginx\/nginx.conf<\/code> 或 \/etc\/nginx\/sites-available\/default<\/code><\/li>
使用server_name<\/code>指令绑定多个域名<\/li> <\/ul> Apache<\/strong>：<\/p> 配置文件：\/etc\/httpd\/httpd.conf<\/code> 或 \/etc\/apache2\/sites-available\/000-default.conf<\/code><\/li> 在VirtualHost<\/code>配置块中使用ServerName<\/code>和ServerAlias<\/code>指令绑定域名<\/li> <\/ul> 二、DNS解析机制<\/h2> DNS(Domain Name System)实现域名与IP地址的相互映射，解析步骤：<\/p> 浏览器缓存检查<\/li> 本地hosts文件检查（HOST碰撞的修改点）<\/li> 本地区域域名服务器(LDNS)<\/li> 上级域名服务器（递归查询）<\/li> <\/ol> 三、HOST碰撞漏洞原理<\/h2> 3.1 漏洞场景<\/h3> 场景一<\/strong>：<\/p> 网站对外主域名：www.test.com<\/li> 内网存在多个业务系统绑定内网域名（如manage.test.com）<\/li> 公网DNS无法解析内网域名<\/li> 访问条件：知道内网域名和对应IP<\/li> 本地hosts文件写入绑定关系<\/li> <\/ul> <\/li> 导致"隐形资产"问题<\/li> <\/ul> 场景二<\/strong>：<\/p> 正常配置：外部域名(oa.admin.com)解析到反向代理IP(210.110.110.110)<\/li> 域名删除：管理员删除oa.admin.com的DNS解析<\/li> 反向代理未删除：配置仍保留<\/li> 攻击者：收集信息猜测域名和IP<\/li> 修改本地hosts文件绕过DNS解析<\/li> 访问本应禁用的内部系统<\/li> <\/ul> <\/li> <\/ol> 场景三<\/strong>：<\/p> admin.example.com未公开但与www.example.com共享IP<\/li> 通过reverse IP lookup发现该域名<\/li> 直接访问目标IP并修改Host头<\/li> 成功访问后台管理系统<\/li> <\/ul> 3.2 漏洞复现<\/h3> 实验环境<\/strong>：<\/p> 虚拟机安装Nginx作为反向代理<\/li> 本机运行Tomcat服务(192.168.3.101:8081)<\/li> 虚拟机IP(192.168.44.133)，域名www.test1.com<\/li> <\/ul> Nginx配置<\/strong>：<\/p> server<\/span> { <\/span><\/span> listen<\/span> 80<\/span>; <\/span><\/span> server_name<\/span> _<\/span>; # 匹配任意域名 <\/span><\/span><\/span><\/span> return<\/span> 400<\/span>; # IP访问返回400 <\/span><\/span><\/span><\/span>} <\/span><\/span> <\/span><\/span>server<\/span> { <\/span><\/span> listen<\/span> 80<\/span>; <\/span><\/span> server_name<\/span> www.test1.com<\/span>; # 匹配特定域名 <\/span><\/span><\/span><\/span> location<\/span> \/<\/span> { <\/span><\/span> proxy_pass<\/span> http:\/\/192.168.3.101:8081<\/span>; # 转发到Tomcat <\/span><\/span><\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>访问测试<\/strong>：<\/p> 访问192.168.44.133 → 返回400<\/li> 访问www.test1.com（无DNS解析）→ 访问不到<\/li> 直接访问IP并修改Host头为www.test1.com → 成功访问Tomcat<\/li> <\/ol> 四、漏洞利用方法<\/h2> 4.1 信息收集<\/h3> 需要收集：<\/p> 可疑IP或域名<\/li> 域名解析指向内网IP的情况<\/li> IP访问时的响应特征： 4xx状态码(400\/403\/404)<\/li> 5xx错误<\/li> 200状态但无响应<\/li> <\/ul> <\/li> <\/ul> 4.2 利用工具<\/h3> 工具一：HostCollision<\/h4> 项目地址：https:\/\/github.com\/pmiaowu\/HostCollision<\/p> 目录结构<\/strong>：<\/p> HostCollision ├── HostCollision.jar (主程序) ├── config.yml (配置文件) ├── dataSource │ ├── ipList.txt (目标IP，一行一个) │ └── hostList.txt (目标Host，一行一个) <\/code><\/pre> 使用步骤<\/strong>：<\/p> 修改ipList.txt和hostList.txt<\/li> 运行程序<\/li> 结果生成在根目录的"年-月-日_8位随机数.csv\/txt"文件中<\/li> <\/ol> 自定义修改<\/strong>：<\/p> 可修改代码固定输出文件名（如改为result.csv）<\/li> 处理结果时建议先删除旧文件再生成新文件<\/li> <\/ul> 工具二：Hosts_scan<\/h4> 项目地址：https:\/\/github.com\/fofapro\/Hosts_scan<\/p> 特点：<\/p> Python编写<\/li> 较长时间未更新<\/li> <\/ul> 4.3 集成开发建议<\/h3> 后端逻辑<\/strong>：<\/p> 文件处理：运行前删除旧结果文件<\/li> 运行工具进行HOST碰撞<\/li> 监控新文件生成作为完成标志<\/li> 使用正则处理结果数据<\/li> <\/ol> 前端展示<\/strong>：<\/p> 实时刷新状态<\/li> 优化结果显示便于复制<\/li> 显示处理进度<\/li> <\/ul> 五、防御措施<\/h2> 反向代理配置<\/strong>：<\/p> 严格限制允许的Host头<\/li> 无效Host请求返回统一错误页面<\/li> <\/ul> <\/li> DNS管理<\/strong>：<\/p> 及时清理不再使用的DNS记录<\/li> 监控异常的DNS查询<\/li> <\/ul> <\/li> 访问控制<\/strong>：<\/p> 内网服务实施网络层访问控制<\/li> 关键系统使用双向认证<\/li> <\/ul> <\/li> 监控审计<\/strong>：<\/p> 记录带有非常见Host头的请求<\/li> 定期审计服务器配置<\/li> <\/ul> <\/li> 安全意识<\/strong>：<\/p> 避免在公网暴露内网域名<\/li> 及时回收测试\/临时环境的配置<\/li> <\/ul> <\/li> <\/ol> 六、总结<\/h2> HOST碰撞漏洞利用的是服务器配置与DNS管理之间的不一致性，通过手动指定Host头绕过访问限制。防御关键在于严格的配置管理和多层访问控制。自动化工具可以大大提高漏洞检测效率，但使用时应注意结果处理和误报过滤。<\/p>