[转帖]绕过CDN寻找网站真实IP的方法汇总

绕过,cdn,寻找,网站,真实,ip,方法,汇总 · 浏览次数 : 0

小编点评

**工作所需,将”绕过CDN寻找网站真实IP”的方法进行汇总:** 1. **子域名入手**: - SubDomainsBrute - Sublist3r - Google Hack - DNSDB 2. **利用网站漏洞**: - phpinfo - Apache status - Jboss status - 网站源代码泄露 - svn 信息泄露 - github 信息泄露 3. **历史DNS记录查询**: - DNSdb.io - x.threatbook.cn 4. **CDN本身入手**: - 社工 - zgrab 5. **MX记录或邮件**: - 发送邮件sendmail - 国外代理访问 - 国外DNS解析 6. **Https证书**: -censys.io 7. **F5 LTM 负载均衡**: - 透过F5获取服务器真实内网ip

正文

https://www.jianshu.com/p/a6d2a52454a3

 

工作所需,将”绕过CDN寻找网站真实IP“的方法进行汇总。打开笔记,发现保存了好几篇以前收集的一些相关文章。文章都比较类似,方法大同小异,做个汇总,也添加一些自己积累。

0x01 判断ip是否为网站真实ip

这个就很简单了,简单说下几个常见的方法:

1. Nslookup:

Win下使用nslookup命令进行查询,若返回域名解析结果为多个ip,多半使用了CDN,是不真实的ip。

 

2. 多地ping查询

使用不同区域ping,查看ping的ip结果是否唯一。若不唯一,则目标网站可能存在CDN。

网站有:

https://asm.ca.com/en/ping.php/

http://ping.chinaz.com/

https://ping.aizhan.com/

 

3. 使用工具直接查询

参见如下网站:

http://www.cdnplanet.com/tools/cdnfinder/

https://www.ipip.net/ip.html

 

0x02 绕过CDN查找真实ip

方法整理如下:

1. 子域名入手

某些企业业务线众多,有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。查询子域名的方法就很多了:subDomainsBrute、Sublist3r、Google hack等。

还有某些网站可以进行查询。例如:

https://dnsdb.io/zh-cn/

 

2. 利用网站漏洞

如果目标站点存在漏洞,这就没办法避免了。例如phpinfo敏感信息泄露、Apache status和Jboss status敏感信息泄露、网页源代码泄露、svn信息泄露信、github信息泄露等。

若存在web漏洞,服务器主动与我们发起请求连接,我们也能获取目标站点真实ip。例如xss、ssrf、命令执行反弹shell等。

3. 历史DNS记录

查询ip与域名绑定历史记录,可能会发现使用CDN之前的目标ip。查询网站有:

https://dnsdb.io/zh-cn/

https://x.threatbook.cn/

http://toolbar.netcraft.com/site_report?url=

http://viewdns.info/

http://www.17ce.com/

https://community.riskiq.com/

http://www.crimeflare.com/cfssl.html

 

4. CDN本身入手

若从CDN本身入手,比如利用社工等,得到控制面板的账号密码,那真实ip就很轻易能获取到了。

5. Mx记录或邮件

很多站点都有发送邮件sendmail的功能,如Rss邮件订阅等。而且一般的邮件系统很多都是在内部,没有经过CDN的解析。可在邮件源码里面就会包含服务器的真实 IP。

 

6. 国外请求

通过国外得一些冷门得DNS或IP去请求目标,很多时候国内得CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。 通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP查询网站:

https://asm.ca.com/en/ping.php

7. 扫描探测

通过信息收集,缩小扫描范围,确定一个相对小的IP和端口范围(中国?AS号?B段?等)

通过http指纹特征和keyword等做综合判断。可使用工具如下:

https://github.com/zmap/zgrab/

http://www.ipdeny.com/ipblocks/

zgrab 是基于zmap无状态扫描的应用层扫描器,可以自定义数据包,以及ip、domain之间的关联。可用于快速指纹识别爆破等场景。

可参考这篇文章:利用Zgrab绕CDN找真实IP - Levy Hsu

8. Zmap大法?

据说扫描全网,只要44分钟?

可参考这篇文章:简单获取CDN背后网站的真实IP - 安全客 - 有思想的安全新媒体

9. 网络空间引擎搜索法

zoomeye、fofa、shodan

通过这些公开的安全搜索引擎爬取得历史快照,主要得一些特征总结如下:

特有的http头部(如server类型、版本、cookie等信息)、

特定keyword(如title、css、js、url等)、

特定的IP段搜索(如fofa支持C段搜索),

有些时候爬取的时候不一定含有上面那些特征,但是我们仍然需要仔细排查。

10. 查询Https证书

此方法来自于去年CplusHua表哥在Freebuf公开课《HTTP盲攻击的几种思路》中分享的:

查询网站:

https://censys.io/

这个网址会将互联网所有的ip进行扫面和连接,以及证书探测。若目标站点有https证书,并且默认虚拟主机配了https证书,我们就可以找所有目标站点是该https证书的站点。

443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:www.xxx.com

 

11. F5 LTM 负载均衡解码获取真实内网ip

之前看了这篇文章:透过F5获取服务器真实内网IP - ThreatHunter

我就在想,假如目标站点有CDN,是否就跟F5做负载均衡冲突了?是否需要找到目标站点 真实ip,才能通过F5获取目标真实内网ip?所以以为可能该方法不能用来绕过CDN获取真实IP。

今天咨询了下hblf表哥:他说应该不会冲突,之前碰到过案例:某企业先在内网出口使用F5做ISP的链路负载均衡,然后再用CDN加速。这样的话,客户端还是可以看到F5埋的那个cookie。而且经过CDN,埋的cookie不会被修改或者删除,所以客户端还是可以看到。

通过解码就可以得到目标服务器真实内网ip。具体方法和原理参见hblf表哥的这篇文章。

所以就把该方法也总结在这儿。

0x03 后记

就当是个瞎总结吧,蛮写一下,希望对你有帮助。PS:如果表哥们如果还有其他方法,求学习。

最后,谢谢hblf表哥、面具表哥的指导。

0x04 参考链接

安胜:黑客寻找网站真实IP手段大揭秘!

xiaix:绕过CDN查找网站真实IP-xiaix's Blog

f4ther:逆向CDN的各种方式总结(干货,附解决方案)

lovesec:绕过CDN查看网站真实IP的一些办法

与[转帖]绕过CDN寻找网站真实IP的方法汇总相似的内容:

[转帖]绕过CDN寻找网站真实IP的方法汇总

https://www.jianshu.com/p/a6d2a52454a3 工作所需,将”绕过CDN寻找网站真实IP“的方法进行汇总。打开笔记,发现保存了好几篇以前收集的一些相关文章。文章都比较类似,方法大同小异,做个汇总,也添加一些自己积累。 0x01 判断ip是否为网站真实ip 这个就很简单了

[转帖]绕过CDN查看网站真实IP

https://www.itblogcn.com/article/viewcdnip.html 这是一个总结帖,查了一下关于这个问题的国内外大大小小的网站,对其中说的一些方法总结归纳形成。 首先,先要明确一个概念,如果人CDN做得好,或者整个站都用CDN加速了,你是几乎找不到他的源站IP的,因为对于

[转帖]BPF for storage:一种受外核启发的反式

https://www.cnblogs.com/charlieroro/p/14666082.html 译自:BPF for storage: an exokernel-inspired approach BPF主要用于报文处理,通过绕过网络栈提高报文的处理速度。本文则用于通过绕过存储栈(文件系统、

[转帖]关于Nacos默认token.secret.key及server.identity风险说明及解决方案公告

https://nacos.io/zh-cn/blog/announcement-token-secret-key.html 近期Nacos社区收到关于Nacos鉴权功能通过token.secret.key默认值进行撞击,绕过身份验证安全漏洞的问题。社区在2.2.0.1和1.4.5版本已移除了自带的

[转帖]SSH交互式脚本StrictHostKeyChecking选项 benchmode=yes

https://www.cnblogs.com/klb561/p/11013774.html SSH 公钥检查是一个重要的安全机制,可以防范中间人劫持等黑客攻击。但是在特定情况下,严格的 SSH 公钥检查会破坏一些依赖 SSH 协议的自动化任务,就需要一种手段能够绕过 SSH 的公钥检查。 什么是S

[转帖]Oracle、MySQL、PG是如何处理数据库“半页写”的问题的?

数据库“断页”是个很有意思的话题,目前任何数据库应该都绕不过去。我们知道数据库的块大小一般是8k、16k、32k,而操作系统块大小是4k,那么在数据库刷内存中的数据页到磁盘上的时候,就有可能中途遭遇类似操作系统异常断电而导致数据页部分写的情况,进而造成数据块损坏,数据块损坏对于某些数据库是致命的,可

[转帖]tracert命令追踪IP地址浅谈

http://www.hkt4.com/news/922.html 摘要: 最近在知乎上看到一个问题:tracert国外的一些IP为什么明明很近却要绕地球好几圈?用tracert命令追踪路由,出现了相同的IP地址,是什么原因呢?很久以前,互联数据运维也接到过类似的问题。 最近在知乎上看到一个问题:t

[转帖]nginx的luajit安装luarocks并安装luafilesystem

nginx的luajit安装luarocks并安装luafilesystem by admin on 2015-07-11 08:05:23 in , 69次 标题有点绕口。我尽量把关键词都贴进去。之前因为自己的nginx安装了ngx_lua模块,但是又需要引入 但是安装luafilesystem又

[转帖]enq: TX - row lock contention故障处理一则

https://www.cnblogs.com/zhchoutai/p/7088826.html 一个非常easy的问题,之所以让我对这个问题进行总结。一是由于没我想象的简单,在处理的过程中遇到了一些磕磕碰碰,甚至绕了一些弯路。二是引发了我对故障处理时的一些思考。 6月19日,下午5点左右。数据库出

[转帖]

Linux ubuntu20.04 网络配置(图文教程) 因为我是刚装好的最小系统,所以很多东西都没有,在开始配置之前需要做下准备 环境准备 系统:ubuntu20.04网卡:双网卡 网卡一:供连接互联网使用网卡二:供连接内网使用(看情况,如果一张网卡足够,没必要做第二张网卡) 工具: net-to