查找CDN背后的真實(shí)IP

時(shí)間：2023-02-13 06:15:01 | 來源：建站知識

時(shí)間：2023-02-13 06:15:01 來源：建站知識

第一篇：繞過 CDN 尋找真實(shí) IP 地址的各種姿勢
個(gè)人覺得，繞過 CDN 去尋找主機(jī)的真實(shí) ip，更容易能尋找到企業(yè)網(wǎng)絡(luò)的薄弱地帶，所以 Bypass CDN 也就變成了至關(guān)重要的一點(diǎn)。
0x01 常見 Bypass 方法
域名搜集
由于成本問題，可能某些廠商并不會將所有的子域名都部署 CDN，所以如果我們能盡量的搜集子域名，或許可以找到一些沒有部署 CDN 的子域名，拿到某些服務(wù)器的真實(shí) ip/ 段
然后關(guān)于子域名搜集的方式很多，就不一一介紹了，我平時(shí)主要是從這幾個(gè)方面搜集子域名：
1、SSL 證書
2、爆破
3、Google Hacking
4、同郵箱注冊人
4、DNS 域傳送
5、頁面 JS 搜集
6、網(wǎng)絡(luò)空間引擎

工具也有很多厲害的，平時(shí)我一般使用 OneForALL + ESD + JSfinder 來進(jìn)行搜集，（ESD 可以加載 layer 的字典，很好用）

查詢 DNS 歷史解析記錄
常常服務(wù)器在解析到 CDN 服務(wù)前，會解析真實(shí) ip，如果歷史未刪除，就可能找到
常用網(wǎng)站：

http://viewdns.info/
https://x.threatbook.cn/
http://www.17ce.com/
https://dnsdb.io/zh-cn/
https://securitytrails.com/
http://www.ip138.com/
https://github.com/vincentcox/bypass-firewalls-by-DNS-history
MX 記錄（郵件探測）
這個(gè)很簡單，如果目標(biāo)系統(tǒng)有發(fā)件功能，通常在注冊用戶/找回密碼等地方，通過注冊確認(rèn)、驗(yàn)證碼等系統(tǒng)發(fā)來的郵件進(jìn)行查看郵件原文即可查看發(fā)件IP地址。
SSL 證書探測
我們可以利用空間引擎進(jìn)行 SSL 證書探測
443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:http://www.baidu.com
再放一個(gè)搜集證書的網(wǎng)站:

https://crt.sh
一個(gè)小腳本，可以快速搜集證書

# -*- coding: utf-8 -*-
# @Time : 2019-10-08 22:51
# @Author : Patrilic
# @FileName: SSL_subdomain.py
# @Software: PyCharm

import requests
import re

TIME_OUT = 60
def get_SSL(domain):
domains = []
url = 'https://crt.sh/?q=%25.{}'.format(domain)
response = requests.get(url,timeout=TIME_OUT)
# print(response.text)
ssl = re.findall("<TD>(.*?).{}</TD>".format(domain),response.text)
for i in ssl:
i += '.' + domain
domains.append(i)
print(domains)

if __name__ == '__main__':
get_SSL("http://baidu.com")

還有一種方式，就是搜集 SSL 證書 Hash，然后遍歷 ip 去查詢證書 hash，如果匹配到相同的，證明這個(gè) ip 就是那個(gè) 域名同根證書的服務(wù)器真實(shí) ip
簡單來說，就是遍歷 0.0.0.0/0:443，通過 ip 連接 https 時(shí)，會顯示證書
當(dāng)然，也可以用 censys 等引擎
偏遠(yuǎn)地區(qū)服務(wù)器訪問
在偏遠(yuǎn)地區(qū)的服務(wù)器訪問時(shí)，可能不會訪問到 CDN 節(jié)點(diǎn)，而是直接訪問服務(wù)器真實(shí) ip
所以我們可以搞一個(gè)偏遠(yuǎn)地區(qū)的代理池，來訪問目標(biāo)域名，有概率就可以拿到真實(shí) ip
也就是平常說的多地 Ping
favicon_hash 匹配
利用 shodan 的 http.favicon.hash 語法，來匹配 icon 的 hash 值, 直接推:
https://github.com/Ridter/get_ip_by_ico/blob/master/get_ip_by_ico.py
CloudFlare Bypass
免費(fèi)版的 cf，我們可以通過 DDOS 來消耗對方的流量，只需要把流量打光，就會回滾到原始 ip
還有利用 cloudflare 的改 host 返回示例:
https://blog.detectify.com/2019/07/31/bypassing-cloudflare-waf-with-the-origin-server-ip-address/
里面給了詳細(xì)的介紹，我們可以通過 HOST 來判斷是否是真實(shí) ip, 具體看文章即可
奇特的 ping
比如可能有些地方，使用的 CDN 都是以 http://www.xxx.edu.cn，例如 www.cuit.edu.cn,http://www.jwc.cuit.edu.cn
可能去掉前綴的 www，就可能繞過 CDN 了，猜測應(yīng)該是類似于 Apache VirtualHost, 可參考
https://httpd.apache.org/docs/2.4/en/vhosts/examples.html
例如對WWW域名和根域名(不帶WWW)分別進(jìn)行PING，結(jié)果有可能不同。
其實(shí)是 ping 了 http://www.xxx.xxx.cn 和 http://xxx.xxx.cn，這樣就可以繞過 CDN 的檢測。
利用老域名
在換新域名時(shí)，常常將 CDN 部署到新的域名上，而老域名由于沒過期，可能未使用 CDN，然后就可以直接獲取服務(wù)器真實(shí) ip。
例如 patrilic.top > http://patrilic.com
域名更新時(shí)，可能老域名同時(shí)解析到真實(shí)服務(wù)器，但是沒有部署 CDN
這個(gè)可以通過搜集域名備案的郵箱去反查，可能會有意外收獲
暴力匹配
找到目標(biāo)服務(wù)器 IP 段后，可以直接進(jìn)行暴力匹配 ，使用 masscan 掃描 HTTP banner，然后匹配到目標(biāo)域名的相同 banner
最后是 DDos/ 社工 CDN 平臺等
0x02 其他方法
phpinfo.php 這類探針
ssrf，文件上傳等漏洞
略..



0x00起源~
查找網(wǎng)站真實(shí)IP過程中我們會經(jīng)常用到一些Bypass CDN的手法，而Bypass CDN的常見姿勢，之前看到過“信安之路”的某位大佬總結(jié)的挺好的，于是和小伙伴們又專門的去學(xué)習(xí)了一波，然后決定將學(xué)習(xí)心得歸結(jié)于文字，以便于記錄和復(fù)習(xí)。

0x01判斷是否存在CDN
查找網(wǎng)站真實(shí)IP的第一步是先查看當(dāng)前站點(diǎn)是否部署了CDN，而較為簡單快捷的方式就是通過本地Nslookup查詢目標(biāo)站點(diǎn)的DNS記錄，若存在CDN，則返回CDN服務(wù)器的地址，若不存在CDN,則返回的單個(gè)IP地址，我們認(rèn)為它就是目標(biāo)站點(diǎn)的真實(shí)IP。
除了使用nslookup，還可以通過第三方站點(diǎn)的DNS解析記錄或者多地ping的方式去判斷是否存在CDN。判斷CDN只是個(gè)開始，不加贅述。。。
小伙伴-胡大毛的www法
以前用CDN的時(shí)候有個(gè)習(xí)慣，只讓W(xué)WW域名使用cdn，禿域名不適用，為的是在維護(hù)網(wǎng)站時(shí)更方便，不用等cdn緩存。所以試著把目標(biāo)網(wǎng)站的www去掉，ping一下看ip是不是變了，您別說，這個(gè)方法還真是屢用不爽。

小伙伴-劉正經(jīng)的二級域名法

目標(biāo)站點(diǎn)一般不會把所有的二級域名放cdn上，比如試驗(yàn)性質(zhì)的二級域名。Google site一下目標(biāo)的域名，看有沒有二級域名出現(xiàn)，挨個(gè)排查，確定了沒使用cdn的二級域名后，本地將目標(biāo)域名綁定到同ip，能訪問就說明目標(biāo)站與此二級域名在同一個(gè)服務(wù)器上。不在同一服務(wù)器也可能在同C段，掃描C段所有開80端口的ip，挨個(gè)試。如果google搜不到也不代表沒有，我們拿常見的二級域名構(gòu)造一個(gè)字典，猜出它的二級域名。比如mail、cache、img。
查詢子域名工具：layer子域名挖掘機(jī) subdomin
掃描c段好用工具：zmap(https://www.cnblogs.com/China-Waukee/p/9596790.html)

還是“劉正經(jīng)”的nslookup法

查詢域名的NS記錄，其域名記錄中的MX記錄，TXT記錄等很有可能指向的是真實(shí)ip或同C段服務(wù)器。
注：域名解析--什么是A記錄、別名記錄(CNAME)、MX記錄、TXT記錄、NS記錄（https://www.22.cn/help_34.html）

小伙伴-胡小毛的工具法
這個(gè)工具http://toolbar.netcraft.com據(jù)說會記錄網(wǎng)站的ip變化情況，通過目標(biāo)網(wǎng)站的歷史ip地址就可以找到真實(shí)ip。沒親自測試，想必不是所有的網(wǎng)站都能查到。
例：http://toolbar.netcraft.com/site_report?url=http://www.waitalone.cn

小伙伴-狄弟弟的目標(biāo)敏感文件泄露
也許目標(biāo)服務(wù)器上存在一些泄露的敏感文件中會告訴我們網(wǎng)站的IP,另外就是如phpinfo之類的探針。

小伙伴-匿名H的墻外法
很多國內(nèi)的CDN沒有節(jié)點(diǎn)對國外服務(wù)，國外的請求會直接指向真實(shí)ip。有人說用國外NS和或開國外VPN，但這樣成功率太低了。我的方法是用國外的多節(jié)點(diǎn)ping工具，例如just-ping，全世界幾十個(gè)節(jié)點(diǎn)ping目標(biāo)域名，很有可能找到真實(shí)ip。
域名：http://www.just-ping.com/

小伙伴-不靠譜的從CDN入手法
無論是用社工還是其他手段，反正是拿到了目標(biāo)網(wǎng)站管理員在CDN的賬號了，此時(shí)就可以自己在CDN的配置中找到網(wǎng)站的真實(shí)IP了。此法著實(shí)適用于“小伙伴-不靠譜”使用。

還是“不靠譜”的釣魚法
不管網(wǎng)站怎么CDN，其向用戶發(fā)的郵件一般都是從自己服務(wù)器發(fā)出來的。以wordpress為例，假如我要報(bào)復(fù)一個(gè)來我這搗亂的壞蛋，壞蛋使用了 CDN，我要找到它的真實(shí)ip以便DDOS他。我的方法是在他博客上留言，再自己換個(gè)名回復(fù)自己，然后收到他的留言提醒郵件，就能知道發(fā)郵件的服務(wù)器ip 了。如果他沒開提醒功能，那就試試他是不是開啟了注冊功能，wordpress默認(rèn)是用郵件方式發(fā)密碼的。

0x03“最后”的總結(jié)
小伙伴“最后”來了一波總結(jié)：

百因必有果，你的報(bào)應(yīng)就是我~o~

萬劍歸宗不是火，萬法合一才是果~o~

小伙伴們總結(jié)了一波又一波方法，“最后”表示不太行，方法很多，每一個(gè)看起來都很實(shí)用，但實(shí)戰(zhàn)告訴我們，只有把這些方法都靈活貫通的結(jié)合使用才能達(dá)到最大的效果。“最后”以胡大毛的www法結(jié)合查找網(wǎng)站歷史DNS解析記錄的方法查找某個(gè)站點(diǎn)的真實(shí)IP的舉例如下：

某站點(diǎn)http://www.xxx.com的當(dāng)前解析顯示有多個(gè)IP，但歷史解析僅有一個(gè)IP，可以猜測該IP可能是真實(shí)IP。

“最后”認(rèn)為除了需要將方法結(jié)合使用之外，輔助工具也是不可缺少的，于是又整理了一波常用的工具和查詢平臺如下：

1、查詢SSL證書或歷史DNS記錄

https://censys.io/certificates/ ###通過SSL證書查詢真實(shí)IP（推薦）

https://site.ip138.com/ ###DNS、IP等查詢

http://ping.chinaz.com/ ###多地ping

http://ping.aizhan.com/ ###多地ping

https://myssl.com/dns_check.html#dns_check ###DNS查詢

https://securitytrails.com/ ### DNS查詢

https://dnsdb.io/zh-cn/ ###DNS查詢

https://x.threatbook.cn/ ###微步在線

http://toolbar.netcraft.com/site_report?url= ###在線域名信息查詢

http://viewdns.info/ ###DNS、IP等查詢

https://tools.ipip.net/cdn.php ###CDN查 詢IP

2、相關(guān)工具

子域名查詢工具：layer子域名挖掘機(jī)，dirbrute，Oneforal（下載鏈接：https://github.com/shmilylty/OneForAll，推薦）

站點(diǎn)banner信息獲?。篫map，masscan等。

參考鏈接
https://github.com/shmilylty/OneForAll

https://github.com/FeeiCN/ESD

https://github.com/Threezh1/JSFinder

https://github.com/AI0TSec/blog/issues/8

https://www.4hou.com/tools/8251.html

https://www.freebuf.com/sectool/112583.html










http://weixin.qq.com/r/wSrm-rHEUuwtrfWd93-T (二維碼自動識別)