0x01 引言
很多时候访问目标资产响应多为:401、403、404、500,但是用域名请求却能返回正常的业务系统,因为这大多数都是需要绑定host才能正常请求访问的(目前互联网公司基本的做法),那么我们就可以通过收集到的目标的内网域名和目标资产的IP段组合起来,以IP段+域名的形式进行捆绑碰撞,就能发现很多有意思的东西。
引用:http://r3start.net/wp-content/uploads/2019/08/2019080916135087.pdf
0x02 利用火器DNS数据集收集ip和域名
type:"A" and value:"10."


0x03 利用burp intruder进行测试

intruder不支持多ip进行host碰撞,可以利用ffuf或者Hosts_scan。
成功发现一处使用shiro的站点,并且RCE。

简单总结下整个漏洞的发现过程:
host碰撞 ---> 内网穿透 ---> 发现内网shiro站点 ---> rce ---> 获得厂商漏洞奖金

PS: 笔者利用host碰撞,发现各大SRC严重漏洞,获得数十万赏金。
0x04 参考
本文迁移自知识星球“火线Zone”