11種繞過CDN尋找真實IP方法

標籤：cin   3.4   內容   ica   ase   查詢   0.0.0.0   middle   border   

0x01 驗證是否存在CDN方法1：

很簡單，使用各種多地 ping 的服務，查看對應 IP 位址是否唯一，如果不唯一多半是使用了CDN， 多地 Ping 網站有：
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/

方法2：

使用 nslookup 進行檢測，原理同上，如果返回網域名稱解析對應多個 IP 位址多半是使用了 CDN。有 CDN 的樣本：

 

www.163.com
伺服器: public1.114dns.com
Address: 114.114.114.114

非權威應答:
名稱: 163.xdwscache.ourglb0.com
Addresses: 58.223.164.86

125.75.32.252
Aliases: www.163.com

www.163.com.lxdns.com

 

無 CDN 的樣本：

 

xiaix.me
伺服器: public1.114dns.com
Address: 114.114.114.114

非權威應答:
名稱: xiaix.me
Address: 192.3.168.172

 0x02 繞過 CDN 尋找網站真實 IP方法1:查詢曆史DNS記錄

 

1）查看 IP 與 網域名稱綁定的記錄，可能會存在使用 CDN 前的記錄，相關查詢網站有：
https://dnsdb.io/zh-cn/ ###DNS查詢
https://x.threatbook.cn/ ###微步線上
http://toolbar.netcraft.com/site_report?url= ###線上網域名稱資訊查詢
http://viewdns.info/ ###DNS、IP等查詢
https://tools.ipip.net/cdn.php ###CDN查詢IP

 

2）利用SecurityTrails平台，攻擊者就可以精準的找到真實原始IP。他們只需在搜尋欄位中輸入網站網域名稱，然後按Enter鍵即可，這時“曆史資料”就可以在左側的菜單中找到。

如何尋找隱藏在CloudFlare或TOR背後的真實原始IP

除了過去的DNS記錄，即使是當前的記錄也可能泄漏原始伺服器IP。例如，MX記錄是一種常見的尋找IP的方式。如果網站在與web相同的伺服器和IP上託管自己的郵件伺服器，那麼原始伺服器IP將在MX記錄中。

 方法2:查詢子網域名稱

畢竟 CDN 還是不便宜的，所以很多站長可能只會對主站或者流量大的子網站做了 CDN，而很多小站子網站又跟主站在同一台伺服器或者同一個C段內，此時就可以通過查詢子網域名稱對應的 IP 來輔助尋找網站的真實IP。

下面介紹些常用的子網域名稱尋找的方法和工具：

 

1）微步線上(https://x.threatbook.cn/)

上文提到的微步線上功能強大，駭客只需輸入要尋找的網域名稱(如baidu.com)，點擊子網域名稱選項就可以尋找它的子網域名稱了，但是免費使用者每月只有5次免費查詢機會。

 

2）Dnsdb查詢法。(https://dnsdb.io/zh-cn/)

駭客只需輸入baidu.com type:A就能收集百度的子網域名稱和ip了。

 

 

3）Google 搜尋

Google site:baidu.com -www就能查看除www外的子網域名稱，

 

4）各種子網域名稱掃描器

這裡，主要為大家推薦子網域名稱挖掘機和lijiejie的subdomainbrute(https://github.com/lijiejie/subDomainsBrute)

子網域名稱挖掘機僅需輸入欄位名即可基於字典挖掘它的子網域名稱，

 

Subdomainbrute以windows為例，駭客僅需開啟cmd進入它所在的目錄輸入Python subdomainbrute.py baidu.com --full即可收集百度的子網域名稱，

註：收集子網域名稱後嘗試以解析ip不在cdn上的ip解析主站，真實ip成功被擷取到。

 

方法3：網路空間引擎搜尋法

常見的有以前的鐘馗之眼，shodan，fofa搜尋。以fofa為例，只需輸入：title:“網站的title關鍵字”或者body：“網站的body特徵”就可以找出fofa收錄的有這些關鍵字的ip網域名稱，很多時候能擷取網站的真實ip，
 

方法4:利用SSL認證尋找真實原始IP

使用給定的網域名稱

假如你在xyz123boot.com上託管了一個服務，原始伺服器IP是136.23.63.44。 而CloudFlare則會為你提供DDoS保護，Web應用程式防火牆和其他一些安全服務，以保護你的服務免受攻擊。為此，你的Web伺服器就必須支援SSL並具有認證，此時CloudFlare與你的伺服器之間的通訊，就像你和CloudFlare之間的通訊一樣，會被加密（即沒有靈活的SSL存在）。這看起來很安全，但問題是，當你在連接埠443（https://136.23.63.44:443）上直接連接到IP時，SSL認證就會被暴露。

此時，如果攻擊者掃描0.0.0.0/0，即整個互連網，他們就可以在連接埠443上擷取在xyz123boot.com上的有效認證，進而擷取提供給你的Web伺服器IP。

目前Censys工具就能實現對整個互連網的掃描，Censys是一款用以搜尋連網裝置資訊的新型搜尋引擎，安全專家可以使用它來評估他們實現方案的安全性，而駭客則可以使用它作為前期偵查攻擊目標、收集目標資訊的強大利器。Censys搜尋引擎能夠掃描整個互連網，Censys每天都會掃描IPv4地址空間，以搜尋所有連網裝置並收集相關的資訊，並返回一份有關資源（如裝置、網站和認證）配置和部署資訊的總體報告。

而攻擊者唯一需要做的就是把上面用文字描述的搜尋字詞翻譯成實際的搜尋查詢參數。

xyz123boot.com認證的搜尋查詢參數為：parsed.names：xyz123boot.com

只顯示有效認證的查詢參數為：tags.raw：trusted

攻擊者可以在Censys上實現多個參數的組合，這可以通過使用簡單的布爾邏輯來完成。

組合後的搜尋參數為：parsed.names: xyz123boot.com and tags.raw: trusted

 

Censys將向你顯示符合上述搜尋條件的所有標準認證，以上這些認證是在掃描中找到的。

要逐個查看這些搜尋結果，攻擊者可以通過單擊右側的“Explore”，開啟包含多個工具的下拉式功能表。What‘s using this certificate? > IPv4 Hosts

 

此時，攻擊者將看到一個使用特定認證的IPv4主機列表，而真實原始 IP就藏在其中。

 

你可以通過導航到連接埠443上的IP來驗證，看它是否重新導向到xyz123boot.com？或它是否直接在IP上顯示網站？

使用給定的SSL認證

如果你是執法部門的人員，想要找出一個隱藏在cheesecp5vaogohv.onion下的兒童色情網站。做好的辦法，就是找到其原始IP，這樣你就可以追蹤到其託管的伺服器，甚至查到背後的電訊廠商以及金融線索。

隱藏服務具有SSL認證，要尋找它使用的IPv4主機，只需將"SHA1 fingerprint"（簽署憑證的sha1值）粘貼到Censys IPv4主機搜尋中，即可找到認證，使用此方法可以輕鬆找到配置錯誤的Web伺服器。

 方法5:利用HTTP標題尋找真實原始IP

藉助SecurityTrails這樣的平台，任何人都可以在茫茫的大資料搜尋到自己的目標，甚至可以通過比較HTTP標題來尋找到原始伺服器。

特別是當使用者擁有一個非常特別的伺服器名稱與軟體名稱時，攻擊者找到你就變得更容易。

如果要搜尋的資料相當多，如上所述，攻擊者可以在Censys上組合搜尋參數。假設你正在與1500個Web伺服器共用你的伺服器HTTP標題，這些伺服器都發送的是相同的標題參數和值的組合。而且你還使用新的PHP架構發送唯一的HTTP標題（例如：X-Generated-Via：XYZ架構），目前約有400名網站管理員使用了該架構。而最終由三個伺服器組成的交集，只需手動操作就可以找到了IP，整個過程只需要幾秒鐘。

例如，Censys上用於匹配伺服器標題的搜尋參數是80.http.get.headers.server :，尋找由CloudFlare提供服務的網站的參數如下：

80.http.get.headers.server:cloudflare

 

 

方法6:利用網站返回的內容尋找真實原始IP

如果原始伺服器IP也返回了網站的內容，那麼可以在網上搜尋大量的相關資料。

瀏覽網站原始碼，尋找獨特的程式碼片段。在JavaScript中使用具有訪問或標識符參數的第三方服務（例如Google Analytics，reCAPTCHA）是攻擊者經常使用的方法。

以下是從HackTheBox網站擷取的Google Analytics跟蹤程式碼範例：

ga（‘create‘，‘UA-93577176-1‘，‘auto‘）;
可以使用80.http.get.body：參數通過body/source過濾Censys資料，不幸的是，正常的搜尋欄位有局限性，但你可以在Censys請求研究存取權限，該許可權允許你通過Google BigQuery進行更強大的查詢。

Shodan是一種類似於Censys的服務，也提供了http.html搜尋參數。

搜尋樣本：https://www.shodan.io/search?query=http.html%3AUA-32023260-1

 

方法7:使用國外主機解析網域名稱

國內很多 CDN 廠商因為各種原因只做了國內的線路，而針對國外的線路可能幾乎沒有，此時我們使用國外的主機直接存取可能就能擷取到真實IP。

 方法8:網站漏洞尋找

1）目標敏感檔案泄露，例如：phpinfo之類的探針、GitHub資訊泄露等。
2）XSS盲打，命令執行反彈shell，SSRF等。
3）無論是用社工還是其他手段，拿到了目標網站管理員在CDN的帳號，從而在從CDN的配置中找到網站的真實IP。

 方法9:網站郵件訂閱尋找

RSS郵件訂閱，很多網站都內建 sendmail，會發郵件給我們，此時查看郵件源碼裡面就會包含伺服器的真實 IP 了。

 方法10：用 Zmap 掃全網

需要找 xiaix.me 網站的真實 IP，我們首先從 apnic 擷取 IP 段，然後使用 Zmap 的 banner-grab 掃描出來 80 連接埠開放的主機進行 banner 抓取，最後在 http-req 中的 Host 寫 xiaix.me。

 方法11：F5 LTM解碼法

當伺服器使用F5 LTM做負載平衡時，通過對set-cookie關鍵字的解碼真實ip也可被擷取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節的十進位數即487098378取出來，然後將其轉為十六進位數1d08880a，接著從後至前，以此取四位元出來，也就是0a.88.08.1d，最後依次把他們轉為十進位數10.136.8.29，也就是最後的真實ip。

 

11種繞過CDN尋找真實IP方法