一、知识点
1.1CDN 知识-工作原理及阻碍
1.1.1CND概念
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。
1.1.2传统访问
用户访问域名–>解析服务器 IP–>访问目标主机
1.1.3普通 CDN
用户访问域名–>CDN 节点–>真实服务器 IP–>访问目标主机
1.1.4带 WAF 的 CDN
用户访问域名–>CDN 节点(WAF)–>真实服务器 IP–>访问目标主机
1.2CDN 配置-域名&区域&类型
1.2.1CDN 配置
配置 1:加速域名-需要启用加速的域名
配置 2:加速区域-需要启用加速的地区 (仅中国内地、全球、全球不含内地)
配置 3:加速类型-需要启用加速的资源 (图片小文件、大文件、视音频点播、全站加速)
1.3CDN 绕过-靠谱十余种技战法(绕过CDN寻找网站真实IP)
1.3.1判断ip是否为网站真实ip
1. Nslookup
Win下使用nslookup命令进行查询,若返回域名解析结果为多个ip,多半使用了CDN,是不真实的ip。
2. 多地ping查询
使用不同区域ping,查看ping的ip结果是否唯一。若不唯一,则目标网站可能存在CDN。
查询网站:
https://www.17ce.com/
https://ping.chinaz.com/
3. 使用工具直接查询
查询网站:https://www.ipip.net/ip.html
1.3.2绕过CDN查找真实ip
1. 子域名入手
有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。
如:只www.yansiqi.com加速,子域名test.yansiqi.com不加速
般子域名极有可能和主站保持同一IP,所以扫描子域名可以查找到真实IP
2. 利用网站漏洞
如果目标站点存在漏洞,这就没办法避免了。例如phpinfo敏感信息泄露、Apache status和Jboss status敏感信息泄露、网页源代码泄露、svn信息泄露信、github信息泄露等。
若存在web漏洞,服务器主动与我们发起请求连接,我们也能获取目标站点真实ip。例如xss、ssrf、命令执行反弹shell等。
3. 历史DNS记录
查询ip与域名绑定历史记录,可能会发现使用CDN之前的目标ip
查询网站
https://x.threatbook.cn/
http://toolbar.netcraft.com/site_report?url=
http://viewdns.info/
http://www.17ce.com/
RiskIQ Community Edition
http://www.crimeflare.com/cfssl.html
4. Mx记录或邮件
很多站点都有发送邮件sendmail的功能,如Rss邮件订阅等。而且一般的邮件系统很多都是在内部,没有经过CDN的解析。可在邮件源码里面就会包含服务器的真实 IP。
5. 国外请求
通过国外得一些冷门得DNS或IP去请求目标,很多时候国内得CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。 通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP查询网站
6. 扫描探测
通过信息收集,缩小扫描范围,确定一个相对小的IP和端口范围(中国?AS号?B段?等)
通过http指纹特征和keyword等做综合判断。
可使用工具:
https://github.com/zmap/zgrab/
http://www.ipdeny.com/ipblocks/
7.Zmap大法
8. 网络空间引擎搜索法
zoomeye、fofa、shodan
通过这些公开的安全搜索引擎爬取得历史快照,主要得一些特征总结如下:
特有的http头部(如server类型、版本、cookie等信息)、
特定keyword(如title、css、js、url等)、
特定的IP段搜索(如fofa支持C段搜索),
有些时候爬取的时候不一定含有上面那些特征,但是我们仍然需要仔细排查。
9. 查询Https证书
1.4CDN 绑定-HOSTS 绑定指向访问
hosts地址:C:\Windows\System32\drivers\etc
二、演示案例
2.1真实应用-CDN 绕过-漏洞&遗留文件
基于主动连接,和反向连接。没有内网网卡情况下,我们主动访问phpinfo.php文件,它主动会泄露本地IP
利用ssrf.php漏洞 ,47.94.236.117开了一个web服务,记录日志
www.yansiqi.com ssrf漏洞(会接收用户的数据并利用服务器去请求)漏洞去请求47.94.236.117
日志会记录访问的IP 访问的服务器IP就是真实IP
2.2真实应用-CDN 绕过-子域名查询操作
超级ping www.sp910.com发现设置了DNS
再ping sp910.com就会发现没有设置DNS,显示出来真实地址
超级ping链接:https://ping.chinaz.com/
2.3真实应用-CDN 绕过-接口查询国外访问
用IPIP查找真实IP
IPIP链接:https://www.ipip.net/ip.html
2.4真实应用-CDN 绕过-主动邮件配合备案
1、以https://www.mozhe.cn/为例,忘记密码,邮箱验证 收到邮箱,点击查看原文
2、用接口查询(不是百分之百正确)
3、根据网站备案信息查询
2.5真实应用-CDN 绕过-全网扫描 FuckCDN
zmap比较麻烦,我们用FuckCDN
配置一:set.ini
配置二:ip.txt
输入目标网站备案所在地的服务器地址
whois查询出是什么服务器
cmd ping出目标网站IP地址
然后输在Ip port后面(80端口)
点击确定
真实IP输出在result.txt文件里
用记事本打开C:\Windows\System32\drivers\etc里的hosts文件
输入查询到的真实IP地址和网站,进行绑定
下次安全测试就不会在节点上了
#CDN有无判定标准:
nslookup,各地 ping(出现多个 IP 即启用 CDN 服务)
#参考知识:
https://zhuanlan.zhihu.com/p/33440472
https://www.cnblogs.com/blacksunny/p/5771827.html
子域名,去掉 www,邮件服务器,国外访问,证书查询,APP 抓包
黑暗空间引擎,通过漏洞或泄露获取,扫全网,以量打量,第三方接口查询等
#案例资源:
超级 Ping:https://www.17ce.com/
接口查询:https://get-site-ip.com/
国外请求:https://tools.ipip.net/cdn.php
全网扫描:GitHub - Tai7sy/fuckcdn: CDN真实IP扫描,易语言开发
————————————————
版权声明:本文为CSDN博主「你赖东东不错嘛*」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/2201_75772809/article/details/130527517