文章总结： 本文讲解渗透测试中的Hosts碰撞技术，通过修改Host头访问反代IP发现隐藏资产。文章指出不仅40X状态码IP，任何收缩进内网的IP均有价值。建议利用cdncheck、naabu收集真实IP，结合oneforall收集子域名，使用hostCollision或Tscan工具批量碰撞以突破边界。 综合评分： 82 文章分类： 渗透测试,红队,内网渗透,安全工具

如何发现隐藏资产——Hosts碰撞

照夜清网络科技 照夜清网络科技

照夜清网络科技

2026年1月29日 20:05 山东

在渗透测试中，很多时候访问目标资产响应多为: 401、403、404、500，但是用域名请求却能返回正常的业务系统，因为这大多数 都是需要绑定host才能正常请求访问的 (目前互联网公司基本的做法)，那么我们就可以通过收集到的目标的内网域名和目标资产的IP段组合起来，以IP段+域名的形式进行捆绑碰撞，就能发现很多有意思的东西。

什么是hosts碰撞?

当数据包的 host 头替换为某个域名时在访问该反代服务器的 ip, 如果 nginx/Apache 的反向代理的 host 配置没删除,就会把请求转发到内网对应的 host 业务服务器上, 接着返回该业务的信息, 实现本该隐藏的业务访问

简单点就是: 当数据包的 host 头替换为某个域名时在访问时该反代服务器的 ip, 如果页面发生了变化,返回了对应的资源, 即可判断为存在 host 碰撞

当一些域名只允许在内网访问时，可通过这种碰撞直接突破边界限制，访问到内网系统进行下一步渗透测试。

hosts 碰撞什么时候存在?

1.业务通过 DNS 解析到外网，后面删除了 A 记录(但是 nginx/Apache 的反向代理还没删除) 2.测试业务(不对外开放的业务,只流传于开发或是测试使用)

什么样的 ip 能进行 hosts 碰撞?

这里我看网上很多人写文章都是写 ip 状态码为 40X 的时候,在进行 host 碰撞

但是我想说,这不一定正确!!!

实际上,我认为应该改为任何一个 ip 都有 host 碰撞的价值!!!

这个点的问题在于,现在很多较大的公司比较流行,资产统一把控,也就是自己所有的资产全部收缩进内网

然后整个 nginx 或是 Apache 服务器,想对外网开放某个资产的时候就通过这个反代服务器新添加个配置映射出去

这就导致了一个问题, 那就是如果配置不当了, 忘记删除这台 nginx 或是 Apache 服务器的域名指向了

那么我们通过修改 host 就可以重新访问这些以前在外网后面被收缩进内网的资产了

例如说:现在外网有个 ip: 47.10.10.1(虚构的)它的域名为: testmiao.com
互联网用户    ↓ 请求到达[ 47.10.10.1 ] ← Nginx/Apache (反向代理层，负责路由分发)    ↓ 内部转发[ 应用集群内网 ]    ├── 虚拟主机: a.testmiao.com (官方业务，对外开放)    ├── 虚拟主机: b.testmiao.com (官方业务，对外开放)      └── 虚拟主机: oa.testmiao.com (办公系统，仅回环/内网访问)Nginx/Apache 没有校验 Host 头是否与公网 DNS 解析一致，只是简单地根据 Host 头去内网寻找对应的虚拟主机。        攻击者进行 Host 碰撞:    直接访问 IP 47.10.10.1，但伪造 Host 头：    GET / HTTP/1.1    Host: oa.testmiao.com          # ← 关键：猜测内部存在的域名

hosts碰撞检测方法

这里分享两种办法

1.第一种可以利用工具Tscan，通过前期收集到的ip和域名直接添加到工具中进行碰撞

2.第二种用于hosts碰撞而生的小工具——hostCollision

先利用cdncheck和mapcidr找出目标的真实ip并将其整合成ip段，再利用naabu和httpx筛选出真正的 Web 资产，最后将得到的内容作为urls.txt

再通过oneforall等工具收集网站子域名作为hosts.txt

./hostCollision -df hosts.txt -uf urls.txt

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：照夜清网络科技 照夜清网络科技 照夜清网络科技《如何发现隐藏资产——Hosts碰撞》