繞過CDN查找真實(shí)IP方法總結(jié)

時(shí)間：2023-02-13 07:18:01 | 來源：建站知識(shí)

時(shí)間：2023-02-13 07:18:01 來源：建站知識(shí)

繞過CDN查找真實(shí)IP地址的總結(jié)文章

什么是CDN有哪些影響？

CDN的全稱是Content Delivery Network，即內(nèi)容分發(fā)網(wǎng)絡(luò)。CDN是構(gòu)建在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)之上的智能虛擬網(wǎng)絡(luò)，依靠部署在各地的邊緣服務(wù)器，通過中心平臺(tái)的負(fù)載均衡、內(nèi)容分發(fā)、調(diào)度等功能模塊，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶訪問響應(yīng)速度和命中率。CDN的關(guān)鍵技術(shù)主要有內(nèi)容存儲(chǔ)和分發(fā)技術(shù)。

簡(jiǎn)單來講：CDN可以被形象的稱為“網(wǎng)絡(luò)加速器”，那么在滲透測(cè)試過程中如果目標(biāo)網(wǎng)站有使用CDN技術(shù)的話，那么你訪問的是一個(gè)緩存，會(huì)導(dǎo)致一些操作難以進(jìn)行。所以就需要學(xué)習(xí)我們繞過CDN的方法。

如何檢測(cè)目標(biāo)是否存在CDN

• 超級(jí)ping

網(wǎng)上有很多超級(jí)提供超級(jí)ping服務(wù)的廠商，我們可以通過判斷“響應(yīng)IP”是否一致確定有無使用CDN，一致則沒有使用CDN；反之使用了CDN。

• nslookup

利用電腦自帶的nslookup也可以簡(jiǎn)單的判斷，判斷方法和上面一致（注意第一次使用后會(huì)留下緩存，所以只有一個(gè)address）

---

CDN繞過方法

子域名查詢

• 原理：因?yàn)槭褂肅DN是需要費(fèi)用的，所以一般公司可能不會(huì)讓所有的子域名都使用CDN，一般訪問量較少的可能沒有使用CDN。那么那個(gè)子域名的ip就有可能是目標(biāo)站點(diǎn)的真實(shí)IP了。
  
• 關(guān)于子域名的查詢方法有很多。
  這里推薦一款network scraping工具"amass"集成了DNS、證書、各種API、網(wǎng)頁(yè)檔案； 至于bruteforcer可以使用的工具也有很多，Layer、Massdns等。效果取決于你字典的質(zhì)量。
  

國(guó)外地址請(qǐng)求

• 原理：顧名思義是使用，國(guó)外的IP地址去訪問目標(biāo)地址。一些偏遠(yuǎn)的地區(qū)可能沒有CDN服務(wù)，那么就會(huì)直接去訪問真實(shí)IP了。
• 使用：https://asm.ca.com/en/ping.php（如果自己有IP資源可以）

郵件服務(wù)查詢

• 原理：通過各種方式，讓對(duì)方給你發(fā)送郵件。注冊(cè)驗(yàn)證碼、社工、等等。
• 這里以qq郵箱為例：只需要點(diǎn)查看郵件原文，關(guān)注Received即可。

網(wǎng)絡(luò)搜索引擎

• 原理：這里主要是利用網(wǎng)站返回的內(nèi)容尋找真實(shí)原始IP，如果原始服務(wù)器IP也返回了網(wǎng)站的內(nèi)容，那么可以在網(wǎng)上搜索大量的相關(guān)數(shù)據(jù)。
• 方法1 空間搜索：
  
• 查看網(wǎng)頁(yè)源代碼，尋找特征碼片段。
• 搜索title，如shodan可以直接用title="xxx"來搜索，當(dāng)然也可以使用其他第三方服務(wù)（百度統(tǒng)計(jì)，google統(tǒng)計(jì)的特征碼等等。）

• 方法2 Censys證書查詢搜索：
  
• 1、http://aaa.com 證書的搜索查詢參數(shù)為：parsed.names：http://xxx.com
• 只顯示有效證書的查詢參數(shù)為：tags.raw：trusted
• 2、組合后的搜索參數(shù)為：parsed.names: http://aaa.com and tags.raw: trusted
• 3、Censys將向你顯示符合上述搜索條件的所有標(biāo)準(zhǔn)證書。要逐個(gè)查看這些搜索結(jié)果，攻擊者可以通過單擊右側(cè)的“Explore”，打開包含多個(gè)工具的下拉菜單。What's using this certificate? > IPv4 Hosts；

然后可以用下面這一段jQuery代碼批量提取IP

$('span.ip a').each(function(n,e){console.log($(e).prop("href").split("v4/")[1])})

dns歷史記錄

• 原理： 通過查找歷史解析的IP，可能是他沒上CDN之前的真實(shí)ip
• https://dnsdb.io/zh-cn/
• https://x.threatbook.cn/
• http://toolbar.netcraft.com/site_report?url=
• http://viewdns.info/

在某些情況下，找到的IP的服務(wù)器返回默認(rèn)索引頁(yè)或404、403 HTTP代碼等。

那么，在這種情況下，可以嘗試修改電腦的hosts文件。再用下面代碼進(jìn)行驗(yàn)證。

curl -H "Host: www.xx.com" https://xxx.168.1.xxx -k

其他方法

phpinfo

查看phpinfo文件的SERVER_ADDR

掃全網(wǎng)

通過掃描全網(wǎng)開放特定端口的IP，最終匹配具有相同HTTP banner的，再進(jìn)行篩選

# masscan 10.0.0.0/8 -p80 --banners --source-ip 192.168.1.200這條命令的意思是掃描10.x.x.x網(wǎng)段80端口的開放信息，并且獲取banner信息。–source-ip 是指定源IP，這個(gè)ip必須指定獨(dú)立有效的IP地址。

這個(gè)時(shí)候你還可能獲取不到banners的信息，需要配置防火墻。可以參考這篇文章：

https://my.oschina.net/799835984/blog/663361

消耗CDN

一般來說CDN是有流量限制的，如果你使用了DOS攻擊等消耗了資源，那么就會(huì)訪問到真實(shí)IP了，但此方法代價(jià)較大，極不推薦使用。

JS泄露

SSRF

工具

https://github.com/boy-hack/w8fuckcdn

此文章僅用于網(wǎng)絡(luò)安全交流，請(qǐng)勿將其用于其他非法目的！

本文屬于@ayoung博客，未經(jīng)許可禁止轉(zhuǎn)載

https://aqyoung.github.io/