繞過cdn查看網(wǎng)站真實(shí)ip

時(shí)間：2023-02-12 11:21:02 | 來源：建站知識

時(shí)間：2023-02-12 11:21:02 來源：建站知識

這是一個(gè)總結(jié)帖，查了一下關(guān)于這個(gè)問題的國內(nèi)外大大小小的網(wǎng)站，對其中說的一些方法總結(jié)歸納形成，里面具體發(fā)現(xiàn)ip的方法不是原創(chuàng)，所有參考的原貼都也貼在了后面，大家可以自行看看原貼。

首先，先要明確一個(gè)概念，如果人CDN做得好，或者整個(gè)站都用CDN加速了，你是幾乎找不到他的源站IP的，因?yàn)閷τ谀銇碚f被CDN給屏蔽了，是個(gè)黑盒子[1]。

下面，我們從一些特別的角度去繞過CDN找源站IP。從前往后，是提的人比較多而且個(gè)人覺得也比較靠譜的方法，如有錯(cuò)處，請大家不吝賜教。

1.采用多地ping：[3][7]

不同地區(qū)的服務(wù)器->訪問->ip：假如使用了cdn->ip會眾多，假如使用了雙線-> ip一般只有幾個(gè)，這是區(qū)分cdn跟多線服務(wù)器的很好的方法。

網(wǎng)上的一些在線工具：

奇云測http//http://ce.cloud.#/；

站長工具Ping http://ping.chinaz.com/；

批注：個(gè)人覺得，如果是小網(wǎng)站，這種方法還是比較可行的，至少可以判斷出其是否采用了CDN加速，但是如果是大型網(wǎng)站，其本身可用的IP數(shù)就眾多，一般是判斷不出來的。

2.ping http://xxx.com而不是ping http://www.xxx.com：[4][5][10][11][12][13]

因?yàn)榱私獾浆F(xiàn)有很多CDN廠商基本只要求把http://www.xxx.com cname到cdn主服務(wù)器上去，而且有人為了維護(hù)網(wǎng)站時(shí)更方便，不用等cdn緩存，只讓W(xué)WW域名使用cdn，禿域名不使用。所以試著把目標(biāo)網(wǎng)站的www去掉，ping一下看ip是不是變了？

批注：可以試試。

3.ping二級域名，甚至三級域名掃描爆破：[2][4][5][6][10][11][12][13]

因?yàn)楹芏嗲闆r是主站使用了CDN而分站沒有使用，而且一般不會把所有的二級域名放在CDN上，所以，使用google site或者自建一個(gè)常用二級域名字典，猜到其二級域名，再ping二級域名，獲取其ip，最后將目標(biāo)域名綁定到同ip，能訪問就說明目標(biāo)站與此二級域名在同一個(gè)服務(wù)器上，就算不在同一服務(wù)器也可能在同C段，掃描C段所有開80端口的ip，挨個(gè)試。

批注：個(gè)人覺得這個(gè)還是比較靠譜的，看了下阿里云、騰訊云的CDN服務(wù)，對加速的域名個(gè)數(shù)是有所限制的， 阿里云是20個(gè)，所以如果網(wǎng)站內(nèi)容稍微多一點(diǎn)，很有可能二級、三級域名是沒有采用CDN加速的，很有可能掃描C段就可以得到主站IP。

4.找國外冷門DNS：[4][5][11][12]

大部分CDN提供商只針對國內(nèi)市場，而對國外市場幾乎是不做CDN，國外的請求有很大的幾率會直接指向真實(shí)ip。不用上國外vpn，只需要：nslookup http://xxx.com 國外dns，就行了，例如：nslookup http://xxx.com 8.8.8.8，提示：你要找冷門國外DNS才行，像谷歌的DNS，國內(nèi)用的人越來越多了，很多CDN提供商都把谷歌DNS作為國內(nèi)市場之一，所以，你查到的結(jié)果會和國內(nèi)差不了多少

用國外的多節(jié)點(diǎn)ping工具，例如just-ping（http://www.just-ping.com/），全世界幾十個(gè)節(jié)點(diǎn)ping目標(biāo)域名，很有可能找到真實(shí)ip。

批注：可以試試。

5.查看域名歷史解析記錄：[4][5][11][12]

因?yàn)橛蛎谏螩DN之前用的IP，很有可能就是CDN的真實(shí)源IP地址。有個(gè)專門的網(wǎng)站提供域名解析歷史記錄查詢：http://toolbar.netcraft.com/site_report?url=www.xxx.com；http://toolbar.netcraft.com/

批注：感覺不太靠譜，可以試試。

6.讓服務(wù)器主動連接我們（包括RSS郵件訂閱）：[4][5][6][7][8][10][11][12][13]

我們直接訪問有cdn的域名的時(shí)候，肯定要先經(jīng)過cdn，如果我們讓服務(wù)器連接我們呢??不就能快速得到服務(wù)器真實(shí)IP了么？

不管網(wǎng)站怎么CDN，其向用戶發(fā)的郵件一般都是從自己服務(wù)器發(fā)出來的。有的服務(wù)器本地自帶sendmail，注冊之后，會主動發(fā)一封郵件給我們，打開郵件的源代碼，你就能看到郵件服務(wù)器的真實(shí)Ip了，很大可能與主站處在一個(gè)網(wǎng)段，那個(gè)網(wǎng)段打開80端口的一個(gè)一個(gè)試。

批注：個(gè)人比較傾向這種方法，感覺比較靠譜，服務(wù)器主動連接我們，可以獲取到mail服務(wù)器的ip，如果恰好這個(gè)ip和源站ip比較近或者就是源站ip，就直接成功了。

7.拿CDN服務(wù)器 找出真實(shí)IP：[6][7][9]

cache_peer 1.1.1.1 parent 80 0 no-query originserver

cache_peer_domain 1.1.1.1 http://www.baidu.com

8.判斷HTTP_X_FORWARDED_FOR是否為空，不為空把這個(gè)作為IP地址，否則取得REMOTE_ADDR作為IP地址。如果服務(wù)器可以上傳文件，可上傳文件加如下代碼：[6][7][9]

Request.ServerVariables(“LOCAL_ADDR”)’得到服務(wù)器的IP地址

Request.ServerVariables(“REMOTE_ADDR”)’得到客戶端的IP地址/這個(gè)有可能是代理

request.ServerVariables(“HTTP_X_FORWARDED_FOR”)’得到請求客戶端真實(shí)IP地址

9.以量打量：[7][10][13]

針對免費(fèi)版的CDN，流量耗盡時(shí)就泄露真實(shí)IP。這個(gè)方法是很笨，但是在特定的目標(biāo)下滲透，建議采用。cdn除了能隱藏ip，可能還考慮到分配流量。不設(shè)防的cdn 量大就會掛。高防cdn 要大流量訪問。經(jīng)受不住大流量沖擊的時(shí)候 可能會顯示真實(shí)ip。

10.查詢域名的NS記錄，其域名記錄中的MX記錄，TXT記錄等很有可能指向的是真實(shí)ip或同C段服務(wù)器。[10][11][13]

11.特殊CDN記錄 比如cloudflare默認(rèn)會配http://direct.domain.com指向真實(shí)IP。[10][13]

12.如果得到的二級、三級域名都做了CDN，那么可以嘗試找找有沒有探針文件，有探針文件，看server info就ok[10][13]

13.其他的一些社工之類的辦法：[7][10][13]

敏感信息搜索：搜集頁面敏感信息，比如郵箱、電話、公司地址等等，再去搜，有可能會搜到跟目標(biāo)一模一樣的網(wǎng)站，ping之。

找到CDN平臺，收集目標(biāo)(你的目標(biāo)站)的信息，社工之

找出網(wǎng)站涉漏文件：這個(gè)需要用工具掃或者爬，但是找到的成功率不是很高。

收集信息：這個(gè)方法 我經(jīng)常用，成功率較大?？紤]到站長建站不可能用一個(gè)域名，假如是做非法產(chǎn)業(yè)，黑色產(chǎn)業(yè)。一般都需要購買一定的量的域名，域名被攔截的時(shí)候，方便指向，繼續(xù)安全訪問。方法是whois->聯(lián)系信息->社工->反查域名 或 子級域名

表示后面幾種方法有點(diǎn)湊巧，運(yùn)氣好找得到，可以試試。



上述引用原貼：

[1] http://zhidao.baidu.com/link?url=RbcyXw-qiJTgWAqWWlUF3xDR38rKRcKRvzNYZop-tpin-0HbzFF0u744T-kzDytCPXbbY31KTeord42_kmqBshP9HJyebJZWcy3mx0dSSZ3

[2] http://d.wanfangdata.com.cn/Patent/CN201310629730.3 這是找到的一個(gè)專利，其中描述的方法，其實(shí)就是掃描二級/三級域名，發(fā)現(xiàn)是否有與主域名ip相同，是的話，就相當(dāng)于發(fā)現(xiàn)了源站ip

[3] http://www.pc841.com/article/20150608-48139.html 這個(gè)就是多地ping的方法，提供了兩個(gè)工具

[4] http://www.code521.com/index.php/archives/872

[5] http://www.zhihu.com/question/37103396這個(gè)網(wǎng)頁的內(nèi)容在多個(gè)網(wǎng)站中都有看到，說來自“核攻擊的博客”。

[6] http://www.baiwanzhan.com/site/t130702/ 這里說了個(gè)比較另類的思路，就是讓服務(wù)器自動來連我們

[7] http://www.moonsec.com/post-307.html這個(gè)網(wǎng)頁提供了一些自稱比較“猥瑣”的方法

[8] http://www.myhack58.com/Article/html/3/62/2014/49361.htm 這個(gè)是一個(gè)讓它發(fā)郵件過來的例子，對上述方法的一個(gè)驗(yàn)證。

[9] http://forum.cnsec.org/thread-79569-1-1.html 這里提供了一些拿CDN服務(wù)器的思路

[10] http://blog.csdn.net/qq_27446553/article/details/46324853這里提了一些其他的思路，說是轉(zhuǎn)的，也沒看見從哪兒轉(zhuǎn)的……

[11] http://www.waitalone.cn/how-to-find-the-real-ip-address-of-the-site.html 這個(gè)網(wǎng)站其實(shí)總結(jié)的已經(jīng)不錯(cuò)了，思路也比較清晰，給了很大參考，它的原文地址已經(jīng)找不到了，就直接引這個(gè)網(wǎng)頁了

[12] http://www.cnblogs.com/kirito/p/3650609.html 這個(gè)一個(gè)人從頭到尾試了一下普遍的方法，直到最后讓服務(wù)器發(fā)送一封郵件才看到bilibili的ip

[13] http://www.hackdig.com/06/hack-22718.htm 感覺是一些聊天記錄，不過里面說到的方法也在其他地方看到了。

下面是找到的一些比較好用的網(wǎng)站，一起推薦了。

[14] http://www.cdnplanet.com/tools/cdnfinder/ 這個(gè)網(wǎng)站對全球大型的CDN廠商做了個(gè)概括而且進(jìn)行了一些數(shù)據(jù)比較，這個(gè)網(wǎng)頁直通過去是一個(gè)CDN搜索，不過個(gè)人感覺不是特別好用，也可能是我沒找到它正確的打開方式。

[15] http://www.ipip.net/ 這是一個(gè)ip庫，可以對ip進(jìn)行定位之類的，感覺做得很專業(yè)，很不錯(cuò)。

[16] http://bbs.chinablackhat.com/thread-7311-1-1.html 這是一個(gè)黑帽論壇，因?yàn)闆]有賬號看不到內(nèi)容，不過可能會有比較不錯(cuò)的方法，推薦有賬號的小伙伴去試試，如果有什么好的方法發(fā)我一下就更好了。

分享一個(gè)安全資訊博客:http://www.ac166.cn