11種有可能繞過(guò)CDN查到服務(wù)器真實(shí)IP方法

方法1：

很簡(jiǎn)單，使用各種多地 ping 的服務(wù)，查看對應 IP 地址是否唯一，如果不唯一多半是使用了cdn/' target='_blank'>CDN， 多地 Ping 網(wǎng)站有：
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.#/

方法2：

使用 nslookup 進(jìn)行檢測，原理同上，如果返回域名解析對應多個(gè) IP 地址多半是使用了 CDN。有 CDN 的示例：

 

www.163.com
服務(wù)器: public1.114dns.com
Address: 114.114.114.114

非權威應答:
名稱(chēng): 163.xdwscache.ourglb0.com
Addresses: 58.223.164.86

125.75.32.252
Aliases: www.163.com

www.163.com.lxdns.com

 

無(wú) CDN 的示例：

 

xiaix.me
服務(wù)器: public1.114dns.com
Address: 114.114.114.114

非權威應答:
名稱(chēng): xiaix.me
Address: 192.3.168.172

0x02 繞過(guò) CDN 查找網(wǎng)站真實(shí) IP

方法1:查詢(xún)歷史DNS記錄

 

1）查看 IP 與 域名綁定的歷史記錄，可能會(huì )存在使用 CDN 前的記錄，相關(guān)查詢(xún)網(wǎng)站有：
https://dnsdb.io/zh-cn/ ###DNS查詢(xún)
https://x.threatbook.cn/ ###微步在線(xiàn)
http://toolbar.netcraft.com/site_report?url= ###在線(xiàn)域名信息查詢(xún)
http://viewdns.info/ ###DNS、IP等查詢(xún)
https://tools.ipip.net/cdn.php ###CDN查詢(xún)IP

 

2）利用SecurityTrails平臺，攻擊者就可以精準的找到真實(shí)原始IP。他們只需在搜索字段中輸入網(wǎng)站域名，然后按Enter鍵即可，這時(shí)“歷史數據”就可以在左側的菜單中找到。

如何尋找隱藏在CloudFlare或TOR背后的真實(shí)原始IP

除了過(guò)去的DNS記錄，即使是當前的記錄也可能泄漏原始服務(wù)器IP。例如，MX記錄是一種常見(jiàn)的查找IP的方式。如果網(wǎng)站在與web相同的服務(wù)器和IP上托管自己的郵件服務(wù)器，那么原始服務(wù)器IP將在MX記錄中。

方法2:查詢(xún)子域名

畢竟 CDN 還是不便宜的，所以很多站長(cháng)可能只會(huì )對主站或者流量大的子站點(diǎn)做了 CDN，而很多小站子站點(diǎn)又跟主站在同一臺服務(wù)器或者同一個(gè)C段內，此時(shí)就可以通過(guò)查詢(xún)子域名對應的 IP 來(lái)輔助查找網(wǎng)站的真實(shí)IP。

下面介紹些常用的子域名查找的方法和工具：

 

1）微步在線(xiàn)(https://x.threatbook.cn/)

上文提到的微步在線(xiàn)功能強大，黑客只需輸入要查找的域名(如baidu.com)，點(diǎn)擊子域名選項就可以查找它的子域名了，但是免費用戶(hù)每月只有5次免費查詢(xún)機會(huì )。如圖：

 

2）Dnsdb查詢(xún)法。(https://dnsdb.io/zh-cn/)

黑客只需輸入baidu.com type:A就能收集百度的子域名和ip了。如圖：

 

 

3）Google 搜索

Google site:baidu.com -www就能查看除www外的子域名，如圖：

 

4）各種子域名掃描器

這里，主要為大家推薦子域名挖掘機和lijiejie的subdomainbrute(https://github.com/lijiejie/subDomainsBrute)

子域名挖掘機僅需輸入域名即可基于字典挖掘它的子域名，如圖：

 

Subdomainbrute以windows為例，黑客僅需打開(kāi)cmd進(jìn)入它所在的目錄輸入Python subdomainbrute.py baidu.com –full即可收集百度的子域名，如圖：

注：收集子域名后嘗試以解析ip不在cdn上的ip解析主站，真實(shí)ip成功被獲取到。

 

方法3：網(wǎng)絡(luò )空間引擎搜索法

常見(jiàn)的有以前的鐘馗之眼，shodan，fofa搜索。以fofa為例，只需輸入：title:“網(wǎng)站的title關(guān)鍵字”或者body：“網(wǎng)站的body特征”就可以找出fofa收錄的有這些關(guān)鍵字的ip域名，很多時(shí)候能獲取網(wǎng)站的真實(shí)ip，如圖：

方法4:利用SSLssl/' target='_blank'>證書(shū)尋找真實(shí)原始IP

使用給定的域名

假如你在xyz123boot.com上托管了一個(gè)服務(wù)，原始服務(wù)器IP是136.23.63.44。 而CloudFlare則會(huì )為你提供DDoS保護，Web應用程序防火墻和其他一些安全服務(wù)，以保護你的服務(wù)免受攻擊。為此，你的Web服務(wù)器就必須支持SSL并具有證書(shū)，此時(shí)CloudFlare與你的服務(wù)器之間的通信，就像你和CloudFlare之間的通信一樣，會(huì )被加密（即沒(méi)有靈活的SSL存在）。這看起來(lái)很安全，但問(wèn)題是，當你在端口443（https://136.23.63.44:443）上直接連接到IP時(shí)，SSL證書(shū)就會(huì )被暴露。

此時(shí)，如果攻擊者掃描0.0.0.0/0，即整個(gè)互聯(lián)網(wǎng)，他們就可以在端口443上獲取在xyz123boot.com上的有效證書(shū)，進(jìn)而獲取提供給你的Web服務(wù)器IP。

目前Censys工具就能實(shí)現對整個(gè)互聯(lián)網(wǎng)的掃描，Censys是一款用以搜索聯(lián)網(wǎng)設備信息的新型搜索引擎，安全專(zhuān)家可以使用它來(lái)評估他們實(shí)現方案的安全性，而黑客則可以使用它作為前期偵查攻擊目標、收集目標信息的強大利器。Censys搜索引擎能夠掃描整個(gè)互聯(lián)網(wǎng)，Censys每天都會(huì )掃描IPv4地址空間，以搜索所有聯(lián)網(wǎng)設備并收集相關(guān)的信息，并返回一份有關(guān)資源（如設備、網(wǎng)站和證書(shū)）配置和部署信息的總體報告。

而攻擊者唯一需要做的就是把上面用文字描述的搜索詞翻譯成實(shí)際的搜索查詢(xún)參數。

xyz123boot.com證書(shū)的搜索查詢(xún)參數為：parsed.names：xyz123boot.com

只顯示有效證書(shū)的查詢(xún)參數為：tags.raw：trusted

攻擊者可以在Censys上實(shí)現多個(gè)參數的組合，這可以通過(guò)使用簡(jiǎn)單的布爾邏輯來(lái)完成。

組合后的搜索參數為：parsed.names: xyz123boot.com and tags.raw: trusted

 

Censys將向你顯示符合上述搜索條件的所有標準證書(shū)，以上這些證書(shū)是在掃描中找到的。

要逐個(gè)查看這些搜索結果，攻擊者可以通過(guò)單擊右側的“Explore”，打開(kāi)包含多個(gè)工具的下拉菜單。What’s using this certificate? > IPv4 Hosts

 

此時(shí)，攻擊者將看到一個(gè)使用特定證書(shū)的IPv4主機列表，而真實(shí)原始 IP就藏在其中。

 

你可以通過(guò)導航到端口443上的IP來(lái)驗證，看它是否重定向到xyz123boot.com？或它是否直接在IP上顯示網(wǎng)站？

使用給定的SSL證書(shū)

如果你是執法部門(mén)的人員，想要找出一個(gè)隱藏在cheesecp5vaogohv.onion下的兒童色情網(wǎng)站。做好的辦法，就是找到其原始IP，這樣你就可以追蹤到其托管的服務(wù)器，甚至查到背后的運營(yíng)商以及金融線(xiàn)索。

隱藏服務(wù)具有SSL證書(shū)，要查找它使用的IPv4主機，只需將”SHA1 fingerprint”（簽名證書(shū)的sha1值）粘貼到Censys IPv4主機搜索中，即可找到證書(shū)，使用此方法可以輕松找到配置錯誤的Web服務(wù)器。

方法5:利用HTTP標頭尋找真實(shí)原始IP

借助SecurityTrails這樣的平臺，任何人都可以在茫茫的大數據搜索到自己的目標，甚至可以通過(guò)比較HTTP標頭來(lái)查找到原始服務(wù)器。

特別是當用戶(hù)擁有一個(gè)非常特別的服務(wù)器名稱(chēng)與軟件名稱(chēng)時(shí)，攻擊者找到你就變得更容易。

如果要搜索的數據相當多，如上所述，攻擊者可以在Censys上組合搜索參數。假設你正在與1500個(gè)Web服務(wù)器共享你的服務(wù)器HTTP標頭，這些服務(wù)器都發(fā)送的是相同的標頭參數和值的組合。而且你還使用新的PHP框架發(fā)送唯一的HTTP標頭（例如：X-Generated-Via：XYZ框架），目前約有400名網(wǎng)站管理員使用了該框架。而最終由三個(gè)服務(wù)器組成的交集，只需手動(dòng)操作就可以找到了IP，整個(gè)過(guò)程只需要幾秒鐘。

例如，Censys上用于匹配服務(wù)器標頭的搜索參數是80.http.get.headers.server :，查找由CloudFlare提供服務(wù)的網(wǎng)站的參數如下：

80.http.get.headers.server:cloudflare

 

 

方法6:利用網(wǎng)站返回的內容尋找真實(shí)原始IP

如果原始服務(wù)器IP也返回了網(wǎng)站的內容，那么可以在網(wǎng)上搜索大量的相關(guān)數據。

瀏覽網(wǎng)站源代碼，尋找獨特的代碼片段。在JavaScript中使用具有訪(fǎng)問(wèn)或標識符參數的第三方服務(wù)（例如Google Analytics，reCAPTCHA）是攻擊者經(jīng)常使用的方法。

以下是從HackTheBox網(wǎng)站獲取的Google Analytics跟蹤代碼示例：

ga（’create’，’UA-93577176-1’，’auto’）;
可以使用80.http.get.body：參數通過(guò)body/source過(guò)濾Censys數據，不幸的是，正常的搜索字段有局限性，但你可以在Censys請求研究訪(fǎng)問(wèn)權限，該權限允許你通過(guò)Google BigQuery進(jìn)行更強大的查詢(xún)。

Shodan是一種類(lèi)似于Censys的服務(wù)，也提供了http.html搜索參數。

搜索示例：https://www.shodan.io/search?query=http.html:UA-32023260-1

 

方法7:使用國外主機解析域名

國內很多 CDN 廠(chǎng)商因為各種原因只做了國內的線(xiàn)路，而針對國外的線(xiàn)路可能幾乎沒(méi)有，此時(shí)我們使用國外的主機直接訪(fǎng)問(wèn)可能就能獲取到真實(shí)IP。

方法8:網(wǎng)站漏洞查找

1）目標敏感文件泄露，例如：phpinfo之類(lèi)的探針、GitHub信息泄露等。
2）XSS盲打，命令執行反彈shell，SSRF等。
3）無(wú)論是用社工還是其他手段，拿到了目標網(wǎng)站管理員在CDN的賬號，從而在從CDN的配置中找到網(wǎng)站的真實(shí)IP。

方法9:網(wǎng)站郵件訂閱查找

RSS郵件訂閱，很多網(wǎng)站都自帶 sendmail，會(huì )發(fā)郵件給我們，此時(shí)查看郵件源碼里面就會(huì )包含服務(wù)器的真實(shí) IP 了。

方法10：用 Zmap 掃全網(wǎng)

需要找 xiaix.me 網(wǎng)站的真實(shí) IP，我們首先從 apnic 獲取 IP 段，然后使用 Zmap 的 banner-grab 掃描出來(lái) 80 端口開(kāi)放的主機進(jìn)行 banner 抓取，最后在 http-req 中的 Host 寫(xiě) xiaix.me。

方法11：F5 LTM解碼法

當服務(wù)器使用F5 LTM做負載均衡時(shí)，通過(guò)對set-cookie關(guān)鍵字的解碼真實(shí)ip也可被獲取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節的十進(jìn)制數即487098378取出來(lái)，然后將其轉為十六進(jìn)制數1d08880a，接著(zhù)從后至前，以此取四位數出來(lái)，也就是0a.88.08.1d，最后依次把他們轉為十進(jìn)制數10.136.8.29，也就是最后的真實(shí)ip。

 

轉自廢材召喚師：https://www.cnblogs.com/qiudabai/p/9763739.html

發(fā)布者：水橋丶帕露西