繞過(guò)CDN尋找網(wǎng)站真實(shí)IP的方法匯總

時(shí)間：2023-02-13 07:42:01 | 來(lái)源：建站知識(shí)

時(shí)間：2023-02-13 07:42:01 來(lái)源：建站知識(shí)

0x00 寫在前面

工作所需，將”繞過(guò)CDN尋找網(wǎng)站真實(shí)IP“的方法進(jìn)行匯總。打開(kāi)筆記，發(fā)現(xiàn)保存了好幾篇以前收集的一些相關(guān)文章。文章都比較類似，方法大同小異，做個(gè)匯總，也添加一些自己積累。

0x01 判斷ip是否為網(wǎng)站真實(shí)ip

這個(gè)就很簡(jiǎn)單了，簡(jiǎn)單說(shuō)下幾個(gè)常見(jiàn)的方法：

1. Nslookup:

Win下使用nslookup命令進(jìn)行查詢，若返回域名解析結(jié)果為多個(gè)ip，多半使用了CDN，是不真實(shí)的ip。

2. 多地ping查詢

使用不同區(qū)域ping，查看ping的ip結(jié)果是否唯一。若不唯一，則目標(biāo)網(wǎng)站可能存在CDN。

網(wǎng)站有：

https://asm.ca.com/en/ping.php/http://ping.chinaz.com/https://ping.aizhan.com/

3. 使用工具直接查詢

參見(jiàn)如下網(wǎng)站：

http://www.cdnplanet.com/tools/cdnfinder/https://www.ipip.net/ip.html

0x02 繞過(guò)CDN查找真實(shí)ip

方法整理如下：

1. 子域名入手

某些企業(yè)業(yè)務(wù)線眾多，有些站點(diǎn)的主站使用了CDN，或者部分域名使用了CDN，某些子域名可能未使用。查詢子域名的方法就很多了：subDomainsBrute、Sublist3r、Google hack等。

還有某些網(wǎng)站可以進(jìn)行查詢。例如：

https://dnsdb.io/zh-cn/

2. 利用網(wǎng)站漏洞

如果目標(biāo)站點(diǎn)存在漏洞，這就沒(méi)辦法避免了。例如phpinfo敏感信息泄露、Apache status和Jboss status敏感信息泄露、網(wǎng)頁(yè)源代碼泄露、svn信息泄露信、github信息泄露等。

若存在web漏洞，服務(wù)器主動(dòng)與我們發(fā)起請(qǐng)求連接，我們也能獲取目標(biāo)站點(diǎn)真實(shí)ip。例如xss、ssrf、命令執(zhí)行反彈shell等。

3. 歷史DNS記錄

查詢ip與域名綁定歷史記錄，可能會(huì)發(fā)現(xiàn)使用CDN之前的目標(biāo)ip。查詢網(wǎng)站有：

https://dnsdb.io/zh-cn/https://x.threatbook.cn/http://toolbar.netcraft.com/site_report?url=http://viewdns.info/http://www.17ce.com/https://community.riskiq.com/http://www.crimeflare.com/cfssl.html

4. CDN本身入手

若從CDN本身入手，比如利用社工等，得到控制面板的賬號(hào)密碼，那真實(shí)ip就很輕易能獲取到了。

5. Mx記錄或郵件

很多站點(diǎn)都有發(fā)送郵件sendmail的功能，如Rss郵件訂閱等。而且一般的郵件系統(tǒng)很多都是在內(nèi)部，沒(méi)有經(jīng)過(guò)CDN的解析?？稍卩]件源碼里面就會(huì)包含服務(wù)器的真實(shí) IP。

6. 國(guó)外請(qǐng)求

通過(guò)國(guó)外得一些冷門得DNS或IP去請(qǐng)求目標(biāo)，很多時(shí)候國(guó)內(nèi)得CDN對(duì)國(guó)外得覆蓋面并不是很廣，故此可以利用此特點(diǎn)進(jìn)行探測(cè)。 通過(guò)國(guó)外代理訪問(wèn)就能查看真實(shí)IP了，或者通過(guò)國(guó)外的DNS解析，可能就能得到真實(shí)的IP查詢網(wǎng)站：

https://asm.ca.com/en/ping.php

7. 掃描探測(cè)

通過(guò)信息收集，縮小掃描范圍，確定一個(gè)相對(duì)小的IP和端口范圍（中國(guó)？AS號(hào)？B段？等）

通過(guò)http指紋特征和keyword等做綜合判斷。可使用工具如下：

https://github.com/zmap/zgrab/http://www.ipdeny.com/ipblocks/zgrab 是基于zmap無(wú)狀態(tài)掃描的應(yīng)用層掃描器,可以自定義數(shù)據(jù)包，以及ip、domain之間的關(guān)聯(lián)?？捎糜诳焖僦讣y識(shí)別爆破等場(chǎng)景。

可參考這篇文章：利用Zgrab繞CDN找真實(shí)IP - Levy Hsu

8. Zmap大法？

據(jù)說(shuō)掃描全網(wǎng)，只要44分鐘？

可參考這篇文章：簡(jiǎn)單獲取CDN背后網(wǎng)站的真實(shí)IP - 安全客 - 有思想的安全新媒體

9. 網(wǎng)絡(luò)空間引擎搜索法

zoomeye、fofa、shodan

通過(guò)這些公開(kāi)的安全搜索引擎爬取得歷史快照，主要得一些特征總結(jié)如下：

特有的http頭部（如server類型、版本、cookie等信息)、

特定keyword（如title、css、js、url等）、

特定的IP段搜索（如fofa支持C段搜索），

有些時(shí)候爬取的時(shí)候不一定含有上面那些特征，但是我們?nèi)匀恍枰屑?xì)排查。

10. 查詢Https證書(shū)

此方法來(lái)自于去年CplusHua表哥在Freebuf公開(kāi)課《HTTP盲攻擊的幾種思路》中分享的：

查詢網(wǎng)站：

https://censys.io/這個(gè)網(wǎng)址會(huì)將互聯(lián)網(wǎng)所有的ip進(jìn)行掃面和連接，以及證書(shū)探測(cè)。若目標(biāo)站點(diǎn)有https證書(shū)，并且默認(rèn)虛擬主機(jī)配了https證書(shū)，我們就可以找所有目標(biāo)站點(diǎn)是該https證書(shū)的站點(diǎn)。

443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:www.xxx.com

11. F5 LTM 負(fù)載均衡解碼獲取真實(shí)內(nèi)網(wǎng)ip

之前看了這篇文章：透過(guò)F5獲取服務(wù)器真實(shí)內(nèi)網(wǎng)IP - ThreatHunter

我就在想，假如目標(biāo)站點(diǎn)有CDN，是否就跟F5做負(fù)載均衡沖突了？是否需要找到目標(biāo)站點(diǎn) 真實(shí)ip，才能通過(guò)F5獲取目標(biāo)真實(shí)內(nèi)網(wǎng)ip？所以以為可能該方法不能用來(lái)繞過(guò)CDN獲取真實(shí)IP。

今天咨詢了下hblf表哥：他說(shuō)應(yīng)該不會(huì)沖突，之前碰到過(guò)案例：某企業(yè)先在內(nèi)網(wǎng)出口使用F5做ISP的鏈路負(fù)載均衡，然后再用CDN加速。這樣的話，客戶端還是可以看到F5埋的那個(gè)cookie。而且經(jīng)過(guò)CDN，埋的cookie不會(huì)被修改或者刪除，所以客戶端還是可以看到。

通過(guò)解碼就可以得到目標(biāo)服務(wù)器真實(shí)內(nèi)網(wǎng)ip。具體方法和原理參見(jiàn)hblf表哥的這篇文章。

所以就把該方法也總結(jié)在這兒。

0x03 后記

就當(dāng)是個(gè)瞎總結(jié)吧，蠻寫一下，希望對(duì)你有幫助。PS：如果表哥們?nèi)绻€有其他方法，求學(xué)習(xí)。

最后，謝謝hblf表哥、面具表哥的指導(dǎo)。

0x04 參考鏈接

安勝：黑客尋找網(wǎng)站真實(shí)IP手段大揭秘！

xiaix：繞過(guò)CDN查找網(wǎng)站真實(shí)IP-xiaix's Blog

f4ther：逆向CDN的各種方式總結(jié)(干貨,附解決方案)

lovesec：繞過(guò)CDN查看網(wǎng)站真實(shí)IP的一些辦法

0x05 寫在最后

歡迎并熱愛(ài)技術(shù)交流，各位讀者在閱讀文章時(shí)所遇到的任何問(wèn)題，都可私信我，看到定會(huì)回復(fù)。

本人是一個(gè)努力想要提升自己的普通安全從業(yè)人員，熱忱網(wǎng)絡(luò)安全事業(yè)，熱愛(ài)分享，平時(shí)喜歡將工作中的所思所想所實(shí)踐進(jìn)行文字整理，故有了此專欄。同時(shí)，本人工作之余，還維護(hù)了個(gè)個(gè)人微信公眾號(hào)及知識(shí)星球，各位讀者走過(guò)路過(guò)可順手點(diǎn)個(gè)關(guān)注，感謝（詳細(xì)介紹見(jiàn)下文）。

(1) 微信公眾號(hào)

平日文章會(huì)先在微信公眾號(hào)進(jìn)行發(fā)布。目前各種類型公眾號(hào)遍布，本人目標(biāo)是維護(hù)一個(gè)日常筆記記錄、知識(shí)成長(zhǎng)及生活思考的良心平臺(tái)。歡迎大家關(guān)注：

(2) 知識(shí)星球

知識(shí)爆炸的時(shí)代，每天都有源源不斷的新知識(shí)。有一顆想要學(xué)習(xí)的心，但是往往被新知識(shí)的快速更新壓得喘不過(guò)氣。故兩年前，申請(qǐng)了個(gè)【知識(shí)星球】，取名《安全學(xué)習(xí)記錄》，將每日看到的一些感興趣的安全技術(shù)文章進(jìn)行收集整理，每天一篇，發(fā)布在知識(shí)星球內(nèi)。內(nèi)容可點(diǎn)擊如下鏈接查閱：https://t.zsxq.com/YnyjAEE

截至目前，已創(chuàng)建760天，發(fā)布542篇主題。

不為賺錢，無(wú)任何商業(yè)目的，少許的費(fèi)用門檻是為了避免伸手黨。有大家每天的瀏覽，也可督促自己的每天更新。各位讀者量力而行。在此謝過(guò)。