查找CDN背后的真实IP方式总结之2020完结篇

0x01 验证是否存在CDN

办法1:

很简单,运用各种多地 ping 的服务,检查对应 IP 地址是否仅有,假定不仅有多半是运用了CDN, 多地 Ping 网站有:
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/

办法2:

运用 nslookup 进行检测,原理同上,假定回来域名解析对应多个 IP 地址多半是运用了 CDN。有 CDN 的示例:

www.163.com
服务器: public1.114dns.com
Address: 114.114.114.114

非威望应对:
名称: 163.xdwscache.ourglb0.com
Addresses: 58.223.164.86

125.75.32.252
Aliases: www.163.com

www.163.com.lxdns.com

无 CDN 的示例:

xiaix.me
服务器: public1.114dns.com
Address: 114.114.114.114

非威望应对:
名称: xiaix.me
Address: 192.3.168.172

0x02 绕过 CDN 查找网站实在 IP

办法1:查询前史DNS记载

1)检查 IP 与 域名绑定的前史记载,或许会存在运用 CDN 前的记载,相关查询网站有:
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP

2)运用SecurityTrails渠道,进犯者就能够精准的找到实在原始IP。他们只需在查找字段中输入网站域名,然后按Enter键即可,这时“前史数据”就能够在左侧的菜单中找到。

如何寻觅隐藏在CloudFlare或TOR背面的实在原始IP

除了曩昔的DNS记载,即使是当时的记载也或许走漏原始服务器IP。例如,MX记载是一种常见的查找IP的办法。假定网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记载中。

办法2:查询子域名

毕竟 CDN 还是不便宜的,所以许多站长或许只会对主站或许流量大的子站点做了 CDN,而许多小站子站点又跟主站在同一台服务器或许同一个C段内,此刻就能够经过查询子域名对应的 IP 来辅助查找网站的实在IP。

下面介绍些常用的子域名查找的办法和东西:

1)微步在线(https://x.threatbook.cn/)

上文提到的微步在线功能强壮,黑客只需输入要查找的域名(如baidu.com),点击子域名选项就能够查找它的子域名了,可是免费用户每月只有5次免费查询机会。如图:

2)Dnsdb查询法。(https://dnsdb.io/zh-cn/)

黑客只需输入baidu.com type:A就能搜集百度的子域名和ip了。如图:

3)Google 查找

Google site:baidu.com -www就能检查除www外的子域名,如图:

4)各种子域名扫描器

这儿,主要为大家引荐子域名挖掘机和lijiejie的subdomainbrute(https://github.com/lijiejie/subDomainsBrute)

子域名挖掘机仅需输入域名即可根据字典挖掘它的子域名,如图:

Subdomainbrute以windows为例,黑客仅需翻开cmd进入它地点的目录输入Python subdomainbrute.py baidu.com –full即可搜集百度的子域名,如图:

注:搜集子域名后尝试以解析ip不在cdn上的ip解析主站,实在ip成功被获取到。

办法3:网络空间引擎查找法

常见的有曾经的钟馗之眼,shodanfofa查找。以fofa为例,只需输入:title:“网站的title关键字”或许body:“网站的body特征”就能够找出fofa录入的有这些关键字的ip域名,许多时分能获取网站的实在ip,如图:
 

办法4:运用SSL证书寻觅实在原始IP

运用给定的域名

假定你在xyz123boot.com上托管了一个服务,原始服务器IP是136.23.63.44。 而CloudFlare则会为你供给DDoS保护,Web应用程序防火墙和其他一些安全服务,以保护你的服务免受进犯。为此,你的Web服务器就必须支撑SSL并具有证书,此刻CloudFlare与你的服务器之间的通讯,就像你和CloudFlare之间的通讯一样,会被加密(即没有灵活的SSL存在)。这看起来很安全,但问题是,当你在端口443(https://136.23.63.44:443)上直接连接到IP时,SSL证书就会被露出。

此刻,假定进犯者扫描0.0.0.0/0,即整个互联网,他们就能够在端口443上获取在xyz123boot.com上的有效证书,进而获取供给给你的Web服务器IP。

现在Censys东西就能实现对整个互联网的扫描,Censys是一款用以查找联网设备信息的新式查找引擎,安全专家能够运用它来评估他们实现方案的安全性,而黑客则能够运用它作为前期侦办进犯方针、搜集方针信息的强壮利器。Censys查找引擎能够扫描整个互联网,Censys每天都会扫描IPv4地址空间,以查找一切联网设备并搜集相关的信息,并回来一份有关资源(如设备、网站和证书)装备和部署信息的总体陈述。

而进犯者仅有需要做的便是把上面用文字描述的查找词翻译成实际的查找查询参数。

xyz123boot.com证书的查找查询参数为:parsed.names:xyz123boot.com

只显现有效证书的查询参数为:tags.raw:trusted

进犯者能够在Censys上实现多个参数的组合,这能够经过运用简单的布尔逻辑来完结。

组合后的查找参数为:parsed.names: xyz123boot.com and tags.raw: trusted

Censys将向你显现契合上述查找条件的一切标准证书,以上这些证书是在扫描中找到的。

要逐一检查这些查找成果,进犯者能够经过单击右侧的“Explore”,翻开包括多个东西的下拉菜单。What’s using this certificate? > IPv4 Hosts

此刻,进犯者将看到一个运用特定证书的IPv4主机列表,而实在原始 IP就藏在其中。

你能够经过导航到端口443上的IP来验证,看它是否重定向到xyz123boot.com?或它是否直接在IP上显现网站?

运用给定的SSL证书

假定你是执法部分的人员,想要找出一个隐藏在cheesecp5vaogohv.onion下的儿童色情网站。做好的办法,便是找到其原始IP,这样你就能够追踪到其托管的服务器,甚至查到背面的运营商以及金融头绪。

隐藏服务具有SSL证书,要查找它运用的IPv4主机,只需将”SHA1 fingerprint”(签名证书的sha1值)粘贴到Censys IPv4主机查找中,即可找到证书,运用此办法能够轻松找到装备错误的Web服务器。

办法5:运用HTTP标头寻觅实在原始IP

凭借SecurityTrails这样的渠道,任何人都能够在茫茫的大数据查找到自己的方针,甚至能够经过比较HTTP标头来查找到原始服务器。

特别是当用户拥有一个非常特别的服务器名称与软件名称时,进犯者找到你就变得更容易。

假定要查找的数据相当多,如上所述,进犯者能够在Censys上组合查找参数。假定你正在与1500个Web服务器共享你的服务器HTTP标头,这些服务器都发送的是相同的标头参数和值的组合。并且你还运用新的PHP结构发送仅有的HTTP标头(例如:X-Generated-Via:XYZ结构),现在约有400名网站管理员运用了该结构。而终究由三个服务器组成的交集,只需手动操作就能够找到了IP,整个过程只需要几秒钟。

例如,Censys上用于匹配服务器标头的查找参数是80.http.get.headers.server :,查找由CloudFlare供给服务的网站的参数如下:

80.http.get.headers.server:cloudflare

 

办法6:运用网站回来的内容寻觅实在原始IP

假定原始服务器IP也回来了网站的内容,那么能够在网上查找许多的相关数据。

浏览网站源代码,寻觅共同的代码片段。在JavaScript中运用具有拜访或标识符参数的第三方服务(例如Google Analytics,reCAPTCHA)是进犯者常常运用的办法。

以下是从HackTheBox网站获取的Google Analytics盯梢代码示例:

ga(’create’,’UA-93577176-1’,’auto’);
能够运用80.http.get.body:参数经过body/source过滤Censys数据,不幸的是,正常的查找字段有局限性,但你能够在Censys请求研究拜访权限,该权限答应你经过Google BigQuery进行更强壮的查询。

Shodan是一种类似于Censys的服务,也供给了http.html查找参数。

查找示例:https://www.shodan.io/search?query=http.html%3AUA-32023260-1

办法7:运用国外主机解析域名

国内许多 CDN 厂商由于各种原因只做了国内的线路,而针对国外的线路或许几乎没有,此刻咱们运用国外的主机直接拜访或许就能获取到实在IP。

办法8:网站缝隙查找

1)方针灵敏文件走漏,例如:phpinfo之类的探针、GitHub信息走漏等。
2)XSS盲打,命令履行反弹shell,SSRF等。
3)无论是用社工还是其他手法,拿到了方针网站管理员在CDN的账号,然后在从CDN的装备中找到网站的实在IP。

办法9:网站邮件订阅查找

RSS邮件订阅,许多网站都自带 sendmail,会发邮件给咱们,此刻检查邮件源码里边就会包括服务器的实在 IP 了。

办法10:用 Zmap 扫全网

需要找 xiaix.me 网站的实在 IP,咱们首先从 apnic 获取 IP 段,然后运用 Zmap 的 banner-grab 扫描出来 80 端口敞开的主机进行 banner 抓取,最终在 http-req 中的 Host 写 xiaix.me。

办法11:F5 LTM解码法

当服务器运用F5 LTM做负载均衡时,经过对set-cookie关键字的解码实在ip也可被获取,例如:Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一末节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也便是0a.88.08.1d,最终顺次把他们转为十进制数10.136.8.29,也便是最终的实在ip。

发表评论