利用MisConfig HTTP Proxy Scanner发现配置不当的HTTP网关(正反向代理),突破边界访问企业内网应用
MisConfig HTTP Proxy Scanner是一个web漏洞扫描器,用于扫描发现配置不当的HTTP正反代理:
-
错误配置的外网反向代理,内网系统被意外暴露到外网
-
错误配置的外网正向代理,攻击者可以暴力枚举内网域名,访问内网的生产运维系统、办公系统
本项目地址:
https://github.com/lijiejie/MisConfig\_HTTP\_Proxy\_Scanner
如何使用
使用python3.8安装,工具启动后如下图所示:
扫描器主界面
在左侧输入框,填入已经通过DNS暴力枚举、爬虫、PassiveDNS等手段,获取到的目标域名和IP地址。
在右侧输入框,支持两种模式:
-
已知部分解析到内网10.x.x.x 192.168.x.x的企业域名,直接填入这些域名
-
已知该企业使用private DNS Zone,外网无法其获取解析关系,可以使用字典暴力枚举。 比如 www.google.internal,这个域名只在目标公司内部可解析,则填入Zone,选取字典组合即可。如图下图所示
配置Private DNS Zone暴力破解
工作示例
作者随机选取几家公司进行测试示例。
以某度公司为例,该公司域名内外网是混用的,内网系统也使用xxxx.xxxdu.com访问。丢进扫描器,可以枚举到在外网根本无法解析的系统。如下图所示:
该域名在外网无法解析
扫描结果界面
利用扫描结果配置hosts,Spring Boot应用出来了,如下图所示,基本肯定,这是一个内网应用:
以某视公司为例,该公司域名内外网是混用的。某域名显示解析到10.x,如下图所示:
利用扫描结果配置hosts,内网系统便可以访问了:
我们知道,有互联网公司在内网办公系统,使用了特殊的*.oa.com域名。从fofa/shodan/zoomeye等平台,捞出来Headers中出现跳转 *.oa.com内网域名的IP地址,挂上字典扫一下。就可以发现存在漏洞的网关,直接穿透外网,访问其内网办公系统:
内网办公系统
写在最后
有了上述扫描结果,配置好hosts,就可以挂扫描器了。内网应用一般较为脆弱,没有经过严格的安全加固和渗透测试。挖到高危漏洞的几率远远大于一般外网应用。
本工具开发时间仓促,测试不充分,功能还不成熟。已知有误报问题待优化。
用户如果发现使用问题,欢迎反馈,在github上创建issue。
近来写代码实在太少,手生了。原本以为几个小时就能写完的工具,连续写了几天到12点。当然,主要是画界面生疏了,80%的时间在处理GUI。:)
