真實(shí)IP探測方法大全

時間：2023-02-13 06:51:01 | 來源：建站知識

時間：2023-02-13 06:51:01 來源：建站知識

真實(shí)IP探測方法大全：
1、多地ping
2、泄露文件
3、信息收集
4、漏洞利用
5、SSL 證書
6、DNS解析
7、被動獲取
8、流量攻擊
9、全網(wǎng)掃描
10、長期關(guān)注
11、對比banner
12、利用老域名
13、favicon_hash 匹配
14、CloudFlare Bypass
15、配置不當(dāng)導(dǎo)致繞過
16、APP
17、社工 CDN 平臺
18、F5 LTM解碼法
19、利用HTTP標(biāo)頭尋找真實(shí)原始IP
20、利用網(wǎng)站返回的內(nèi)容尋找真實(shí)原始IP




滲透測試過程中，需要尋找真實(shí)IP的情況，無非就是目標(biāo)使用了cdn或者有云防護(hù)。

CDN

CDN即內(nèi)容分發(fā)網(wǎng)絡(luò)，主要解決因傳輸距離和不同運(yùn)營商節(jié)點(diǎn)造成的網(wǎng)絡(luò)速度性能低下的問題。

說的簡單點(diǎn)，就是一組在不同運(yùn)營商之間的對接點(diǎn)上的高速緩存服務(wù)器，把用戶經(jīng)常訪問的靜態(tài)數(shù)據(jù)資源直接緩存到節(jié)點(diǎn)服務(wù)器上，當(dāng)用戶再次請求時，會直接分發(fā)到離用戶近的節(jié)點(diǎn)服務(wù)器上響應(yīng)給用戶，當(dāng)用戶有實(shí)際數(shù)據(jù)交互時才會從遠(yuǎn)程Web服務(wù)器上響應(yīng)，這樣可以大大提高網(wǎng)站的響應(yīng)速度及用戶體驗(yàn)。

CDN的優(yōu)勢

?提高用戶訪問速率，優(yōu)化用戶使用體驗(yàn)。
?隱藏真實(shí)服務(wù)器的IP
?提供WAF功能，目前很多CDN也提供了WAF的功能，我們的訪問請求會先經(jīng)過CDN節(jié)點(diǎn)的過濾，該過濾可對SQL注入、XSS、Webshell上傳、命令注入、惡意掃描等攻擊行為進(jìn)行有效檢測和攔截。CDN節(jié)點(diǎn)將認(rèn)為無害的數(shù)據(jù)提交給真實(shí)的主機(jī)服務(wù)器。

幾種訪問方式的不同

?傳統(tǒng)訪問：用戶訪問域名-->解析服務(wù)器IP-->訪問目標(biāo)主機(jī)
?普通CDN：用戶訪問域名-->CDN節(jié)點(diǎn)-->真實(shí)服務(wù)器IP-->訪問目標(biāo)主機(jī)
?帶WAF的CDN：用戶訪問域名-->CDN節(jié)點(diǎn)（云WAF）-->真實(shí)服務(wù)器IP-->訪問目標(biāo)主機(jī)

CDN的配置

1.將域名的 NS 記錄指向 CDN 廠商提供的 DNS 服務(wù)器。
2.給域名設(shè)置一個 CNAME 記錄，將它指向CDN廠商提供的另一個域名。

所以在滲透測試中，為了要知道網(wǎng)站服務(wù)器的真實(shí)IP，我們必須繞過CDN查找出網(wǎng)站的真實(shí)ip地址。

判斷是否使用cdn

多地ping

不同地區(qū)的服務(wù)器->訪問->ip，假如使用了cdn->ip會眾多。
假如使用了雙線-> ip一般只有幾個。
這是區(qū)分cdn跟多線服務(wù)器的很好的方法。
不同的地方去Ping服務(wù)器，如果IP不一樣，則目標(biāo)網(wǎng)站肯定使用了CDN。
在線ping:
http://ping.chinaz.com/
http://ce.cloud.#/ http://www.webkaka.com/ping.aspx https://asm.ca.com/en/ping.php

nslookup 進(jìn)行檢測
使用 nslookup 進(jìn)行檢測，原理同上，如果返回域名解析對應(yīng)多個 IP 地址多半是使用了 CDN。有 CDN 的示例：
http://www.163.com
服務(wù)器: http://public1.114dns.com
Address: 114.114.114.114

非權(quán)威應(yīng)答:
名稱: http://163.xdwscache.ourglb0.com
Addresses: 58.223.164.86 125.75.32.252 Aliases: http://www.163.com
http://www.163.com.lxdns.com
無 CDN 的示例：
http://xiaix.me
服務(wù)器: http://public1.114dns.com
Address: 114.114.114.114

非權(quán)威應(yīng)答:
名稱: http://xiaix.me Address: 192.3.168.172

CDN的繞過思路

網(wǎng)上有很多繞過CDN的思路，但是存在很多問題，以下是收集并總結(jié)的思路。
在站長的角度，不可能每個站都會用上CDN。
站在DNS服務(wù)商的角度，歷史解析記錄可能不受CDN服務(wù)商控制。站在CDN服務(wù)商的角度，提供CDN服務(wù)的區(qū)域有限制，CDN流量有限制。

關(guān)注公眾號，回復(fù)"聚鼎安全"關(guān)鍵字免費(fèi)領(lǐng)取"高效學(xué)習(xí)視頻教學(xué)和推薦教學(xué)視頻

繞過cdn探測真實(shí)ip方法大全

1、多地ping

參考如上的多地ping

1.使用在線網(wǎng)站ping目標(biāo)，如果得出不同的ip，我們可以判斷不同地區(qū)是否使用cdn來得出真實(shí)ip。
2.國內(nèi)的CDN一般只對國內(nèi)的用戶訪問加速， 所以使用國外在線代理網(wǎng)站：https://asm.ca.com/en/ping.php

2、泄露文件

這個需要用工具掃或者爬，但是找到的成功率不是很高。
?服務(wù)器日志文件
?探針文件
掃描目標(biāo)web目錄 獲取phpinfo探針類文件 ，基本上都存有服務(wù)器真實(shí)ip信息泄露。
在phpinfo里真實(shí)IP對應(yīng)項(xiàng)為：

3、信息收集

首先我們可以進(jìn)行正常的信息收集過程，盡可能抓取各種IP地址（通過host、nslookup、whois、地址段等），然后檢查哪些服務(wù)器啟用了Web服務(wù)（通過netcat、nmap、masscan等）。
一旦獲取到Web服務(wù)器IP地址，下一步就是檢查目標(biāo)域名是否以虛擬主機(jī)方式托管在某個平臺上。如果不采用這種方式，我們就可以看到默認(rèn)的服務(wù)器頁面或者默認(rèn)配置的站點(diǎn)頁面，否則我們就找到了切入點(diǎn)。
?服務(wù)器信息
?錯誤信息
?旁站
?子域名或者父域名
子域名法：由于成本問題，可能某些廠商并不會將所有的子域名都部署 CDN，所以如果我們能盡量的搜集子域名，或許可以找到一些沒有部署 CDN 的子域名，拿到某些服務(wù)器的真實(shí) ip/ 段
?工具收集
?wydomain: https://github.com/ring04h/wydomain
?subDomainsBrute: https://github.com/lijiejie/
?Sublist3r: https://github.com/aboul3la/Sublist3r
?layer子域名挖掘機(jī)
?在線收集
?https://dnsdb.io/zh-cn/
?https://phpinfo.me/bing.php
?http://www.webscan.cc
?通過搜索引擎查找公網(wǎng)上的相同站點(diǎn)（開發(fā)環(huán)境，備份站點(diǎn)等）
參考：子域名探測方法大全
?js文件信息

?TXT記錄
?搜索引擎
常見的有鐘馗之眼，shodan，fofa搜索。以fofa為例，只需輸入:title:“網(wǎng)站的title關(guān)鍵字”或者body: “網(wǎng)站的body特征”就可以找出fofa收錄的有這些關(guān)鍵字的ip域名，很多時候能獲取網(wǎng)站的真實(shí)ip。
?例如：
考慮到站長建站不可能用一個域名。
假如是做非法產(chǎn)業(yè)，黑色產(chǎn)業(yè)，一般都需要購買一定的量的域名，域名被攔截的時候，方便指向，繼續(xù)安全訪問。方法是whois->聯(lián)系信息->社工->反查域名或子級域名

4、漏洞利用

漏洞利用，比如SSRF、XXE、XSS、文件上傳等漏洞，或者我們找到的其他突破口，注入包含我們自己服務(wù)器地址的payload，然后在服務(wù)器上檢查對應(yīng)的日志。

5、SSL 證書

假如在 http://www.wangsu.com 上托管了一個服務(wù),原始服務(wù)器IP是136.23.63.44，而wangsu會為你提供DDoS保護(hù)，Web應(yīng)用程序防火墻等服務(wù)，以保護(hù)你的服務(wù)免受攻擊。
為此，你的Web服務(wù)器就必須支持SSL并具有證書。

Censys工具就能實(shí)現(xiàn)對整個互聯(lián)網(wǎng)的掃描，Censys是一款用以搜索聯(lián)網(wǎng)設(shè)備信息的新型搜索引擎，能夠掃描整個互聯(lián)網(wǎng)，Censys會將互聯(lián)網(wǎng)所有的ip進(jìn)行掃面和連接，以及證書探測。
若目標(biāo)站點(diǎn)有https證書，并且默認(rèn)虛擬主機(jī)配了https證書，我們就可以找所有目標(biāo)站點(diǎn)是該https證書的站點(diǎn)。
https://censys.io/ipv4
例如：443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:http://www.baidu.com

還有一種方式，就是搜集 SSL 證書 Hash，然后遍歷 ip 去查詢證書 hash，如果匹配到相同的，證明這個 ip 就是那個 域名同根證書的服務(wù)器真實(shí) ip
簡單來說，就是遍歷 0.0.0.0/0:443，通過 ip 連接 https 時，會顯示證書 當(dāng)然，也可以用 censys 等引擎

再放一個搜集證書的網(wǎng)站: https://crt.sh 一個小腳本，可以快速搜集證書

# -*- coding: utf-8 -*-# @Time : 2019-10-08 22:51# @Author : Patrilic# @FileName: SSL_subdomain.py# @Software: PyCharmimport requestsimport reTIME_OUT = 60def get_SSL(domain): domains = [] url = 'https://crt.sh/?q=%25.{}'.format(domain) response = requests.get(url,timeout=TIME_OUT) # print(response.text) ssl = re.findall("<TD>(.*?).{}</TD>".format(domain),response.text) for i in ssl: i += '.' + domain domains.append(i) print(domains)if __name__ == '__main__': get_SSL("baidu.com")

6、DNS解析

一般網(wǎng)站從部署開始到使用cdn都有一個過程，周期如果較長的話 則可以通過這類歷史解析記錄查詢等方式獲取源站ip，查看IP與域名綁定的歷史記錄，可能會存在使用CDN前的記錄。

找國外的比較偏僻的DNS解析服務(wù)器進(jìn)行DNS查詢，因?yàn)榇蟛糠諧DN提供商只針對國內(nèi)市場，而對國外市場幾乎是不做CDN，所以有很大的幾率會直接解析到真實(shí)IP 。
全世界DNS地址：
http://www.ab173.com/dns/dns_world.php https://dnsdumpster.com/
https://dnshistory.org/
http://whoisrequest.com/history/ https://completedns.com/dns-history/
http://dnstrails.com/
https://who.is/domain-history/ http://research.domaintools.com/research/hosting-history/ http://site.ip138.com/
http://viewdns.info/iphistory/
https://dnsdb.io/zh-cn/
https://www.virustotal.com/
https://x.threatbook.cn/
http://viewdns.info/
http://www.17ce.com/ http://toolbar.netcraft.com/site_report?url= https://securitytrails.com/ https://tools.ipip.net/cdn.php

7、被動獲取

被動獲取就是讓目標(biāo)服務(wù)器主動鏈接我們的服務(wù)器，獲取來源IP。

很多站點(diǎn)都有發(fā)送郵件的功能，如Rss郵件訂閱、找回密碼、郵箱注冊等。而且一般的郵件系統(tǒng)很多都是在內(nèi)部，沒有經(jīng)過CDN的解析。可以通過郵件源碼尋找服務(wù)器的真實(shí)IP。
?SSRF
SSRF漏洞，服務(wù)器主動向外發(fā)起連接，泄露真實(shí)IP地址
如DZ SSRF漏洞exp為：
http://域名/forum.php?mod=ajax&action=downremoteimg&message=[img=1,1]http://13.250.114.92:3319/aq9w.jpg[/img]
?MX 記錄
?基本原理：就是想辦法讓目標(biāo)Web服務(wù)器向我們自己的服務(wù)器/Collaborator發(fā)起請求。
1、如果目標(biāo)系統(tǒng)有發(fā)件功能，通常在注冊用戶/找回密碼等地方，
2、下一步就是提取目標(biāo)郵件中的頭部信息，比如我們可以訂閱目標(biāo)服務(wù)，創(chuàng)建賬戶，使用“忘記密碼”功能，或者訂購某些 產(chǎn)品……總之，我們要想辦法讓目標(biāo)給我們發(fā)送一封郵件（這種場景下我們可以使用Burp Collaborator）。
3、收到郵件后，我們可以查看源代碼，特別是其中的郵件頭，記錄下其中的所有IP地址，包括子域名，這些信息很可能與托管服務(wù)有關(guān)。然后，我們可以嘗試通過這些地址訪問目標(biāo)。

?RSS
網(wǎng)站郵件訂閱查找
RSS郵件訂閱，很多網(wǎng)站都自帶 sendmail，會發(fā)郵件給我們，此時查看郵件源碼里面就會包含服務(wù)器的真實(shí) IP 了。

8、流量攻擊

發(fā)包機(jī)可以一下子發(fā)送很大的流量。這個方法是很笨，但是在特定的目標(biāo)下滲透，建議采用。
cdn除了能隱藏ip，可能還考慮到分配流量，
不設(shè)防的cdn 量大就會掛，高防cdn 要大流量訪問。
經(jīng)受不住大流量沖擊的時候可能會顯示真實(shí)ip。
站長->業(yè)務(wù)不正常->cdn不使用->更換服務(wù)器。

9、全網(wǎng)掃描

?https://github.com/3xp10it/xcdn
?https://github.com/boy-hack/w8fuckcdn

10、長期關(guān)注

在長期滲透的時候，每天訪問目標(biāo)站?？赡苡行碌陌l(fā)現(xiàn)與驚喜。

11、對比banner

獲取目標(biāo)站點(diǎn)的banner，在全網(wǎng)搜索引擎搜索，也可以使用AQUATONE，在Shodan上搜索相同指紋站點(diǎn)。
可以通過互聯(lián)網(wǎng)絡(luò)信息中心的IP數(shù)據(jù)，篩選目標(biāo)地區(qū)IP，遍歷Web服務(wù)的banner用來對比CDN站的banner，可以確定源IP。
歐洲：
http://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
北美：
https://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest
亞洲：
ftp://ftp.apnic.net/public/apnic/stats/apnic/delegated-apnic-latest
非洲：
ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest 拉美：
ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest
獲取CN的IP http://www.ipdeny.com/ipblocks/data/countries/cn.zone ，
例如： 找到目標(biāo)服務(wù)器 IP 段后，可以直接進(jìn)行暴力匹配 ，使用zmap、masscan 掃描 HTTP banner，
然后匹配到目標(biāo)域名的相同 banner
root@kali:~# zmap -p 80 -w bbs.txt -o 80.txt

設(shè)置http-req，將其設(shè)置為如下的值：

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:66.0) Gecko/20100101 Firefox/66.0Host: %s使用zmap的banner-grab對掃描出來80端口開放的主機(jī)進(jìn)行banner抓取。root@kali:~/zmap-1.2.1/examples/banner-grab# cat /root/bbs.txt |./banner-grab-tcp -p 80 -c 100 -d http-req -f ascii > http-banners.out
根據(jù)網(wǎng)站返回包特征，進(jìn)行特征過濾
location: plugin.php?id=info:index

1、ZMap號稱是最快的互聯(lián)網(wǎng)掃描工具，能夠在45分鐘掃遍全網(wǎng)。https://github.com/zmap/zmap
2、Masscan號稱是最快的互聯(lián)網(wǎng)端口掃描器，最快可以在六分鐘內(nèi)掃遍互聯(lián)網(wǎng)。https://github.com/robertdavidgraham/masscan

12、利用老域名

在換新域名時，常常將 CDN 部署到新的域名上，而老域名由于沒過期，可能未使用 CDN，然后就可以直接獲取服務(wù)器真實(shí) ip。
例如：patrilic.top > http://patrilic.com
域名更新時，可能老域名同時解析到真實(shí)服務(wù)器，但是沒有部署 CDN 這個可以通過搜集域名備案的郵箱去反查，可能會有意外收獲

13、favicon_hash 匹配

利用 shodan 的 http.favicon.hash 語法，來匹配 icon 的 hash 值, 直接推: https://github.com/Ridter/get_ip_by_ico/blob/master/get_ip_by_ico.py

14、CloudFlare Bypass

對CloudFlare客戶網(wǎng)站進(jìn)行真實(shí)IP查詢 （因?yàn)楹芏嗑W(wǎng)站都使用CloudFlare提供的CDN服務(wù)）
?通過在線網(wǎng)站CloudFlareWatch: http://www.crimeflare.us/cfs.html#box
?一個繞過CloudFlare的簡單Ruby腳本，可以發(fā)現(xiàn)您的真實(shí)IP地址: https://github.com/HatBashBR/HatCloud
?CloudFail是一種戰(zhàn)術(shù)偵察工具，旨在收集有關(guān)受Cloudflare保護(hù)的目標(biāo)的足夠信息，以期發(fā)現(xiàn)服務(wù)器的位置: https://github.com/m0rtem/CloudFail
?CloudFlair是一種工具，用于查找受公開公開的CloudFlare保護(hù)的網(wǎng)站的原始服務(wù)器，并且不會限制對CloudFlare IP范圍的網(wǎng)絡(luò)訪問: https://github.com/christophetd/CloudFlair
?通過濫用DNS歷史記錄繞過防火墻: https://github.com/vincentcox/bypass-firewalls-by-DNS-history
?免費(fèi)版的 cf，我們可以通過 DDOS 來消耗對方的流量，只需要把流量打光，就會回滾到原始 ip 還有利用 cloudflare 的改 host 返回示例: https://blog.detectify.com/2019/07/31/bypassing-cloudflare-waf-with-the-origin-server-ip-address/ 里面給了詳細(xì)的介紹，我們可以通過 HOST 來判斷是否是真實(shí) ip, 具體看文章即可

15、配置不當(dāng)導(dǎo)致繞過

在配置CDN的時候，需要指定域名、端口等信息，有時候小小的配置細(xì)節(jié)就容易導(dǎo)致CDN防護(hù)被繞過。
?案例1：為了方便用戶訪問，我們常常將http://www.test.com 和 http://test.com 解析到同一個站點(diǎn)，而CDN只配置了http://www.test.com，通過訪問http://test.com，就可以繞過 CDN 了。
?案例2：站點(diǎn)同時支持http和https訪問，CDN只配置 https協(xié)議，那么這時訪問http就可以輕易繞過。

16、APP

如果網(wǎng)站有APP，使用Fiddler或Burp Suite抓取APP請求，從中找到真實(shí)IP。

17、F5 LTM解碼法

當(dāng)服務(wù)器使用F5 LTM做負(fù)載均衡時，通過對set-cookie關(guān)鍵字的解碼真實(shí)ip也可被獲取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節(jié)的十進(jìn)制數(shù)即487098378取出來，然后將其轉(zhuǎn)為十六進(jìn)制數(shù)1d08880a，接著從后至前，以此取四位數(shù)出來，也就是0a.88.08.1d，最后依次把他們轉(zhuǎn)為十進(jìn)制數(shù)10.136.8.29，也就是最后的真實(shí)ip。

18、社工 CDN 平臺

19、利用HTTP標(biāo)頭尋找真實(shí)原始IP

例如，Censys上用于匹配服務(wù)器標(biāo)頭的搜索參數(shù)是80.http.get.headers.server :，查找由CloudFlare提供服務(wù)的網(wǎng)站的參數(shù)如下：80.http.get.headers.server:cloudflare

20、利用網(wǎng)站返回的內(nèi)容尋找真實(shí)原始IP

如果原始服務(wù)器IP也返回了網(wǎng)站的內(nèi)容，那么可以在網(wǎng)上搜索大量的相關(guān)數(shù)據(jù)。

繞過cdn的流程

找到真實(shí)ip之后，與hosts文件綁定，實(shí)現(xiàn)能夠直接用ip或域名訪問目標(biāo)真實(shí)服務(wù)器。

hosts文件

電腦在進(jìn)行DNS請求以前，系統(tǒng)會先檢查自己的Hosts文件中，是否有這個地址映射關(guān)系，如果有則調(diào)用這個IP地址映射，如果沒有再向已知的DNS服務(wù)器提出域名解析。
所以Hosts文件是用來提高解析效率的。
也可以理解為，Hosts的請求級別比DNS高，當(dāng)Hosts文件里面有對應(yīng)的IP時，它會直接訪問那個IP，而不通過DNS。
hosts文件路徑：C:/Windows/System32/drivers/etc/hosts 使用方法如下：

信息收集全集：https://blog.csdn.net/qq_38265674/article/details/111034838

參考鏈接：

1.繞過 CDN 尋找真實(shí) IP 地址的各種姿勢
2.繞過CDN尋找真實(shí)IP的8種方法
3. 子域名探測方法大全