2020-02-01

繞過CDN查找網(wǎng)站真實(shí)IP

0x01 驗(yàn)證是否存在CDN

方法1

很簡單,使用各種多地 ping 的服務(wù),查看對(duì)應(yīng) IP 地址是否唯一,如果不唯一多半是使用了CDN, 多地 Ping 網(wǎng)站有:

方法2

使用 nslookup 進(jìn)行檢測,原理同上,如果返回域名解析對(duì)應(yīng)多個(gè) IP 地址多半是使用了 CDN。

有 CDN 的示例:

> www.163.com
服務(wù)器:  public1.114dns.com
Address:  114.114.114.114

非權(quán)威應(yīng)答:
名稱:    163.xdwscache.ourglb0.com
Addresses:  58.223.164.86  
          125.75.32.252
Aliases:  www.163.com  
          www.163.com.lxdns.com

無 CDN 的示例:

> xiaix.me
服務(wù)器:  public1.114dns.com
Address:  114.114.114.114

非權(quán)威應(yīng)答:
名稱:    xiaix.me
Address:  192.3.168.172

方法3

使用各種工具幫助檢測目標(biāo)網(wǎng)站是否使用了 CDN,可以參見如下網(wǎng)站:

0x02 繞過 CDN 查找網(wǎng)站真實(shí) IP

2.1 查詢歷史DNS記錄

查看 IP 與 域名綁定的歷史記錄,可能會(huì)存在使用 CDN 前的記錄,相關(guān)查詢網(wǎng)站有:

2.2 查詢子域名

畢竟 CDN 還是不便宜的,所以很多站長可能只會(huì)對(duì)主站或者流量大的子站點(diǎn)做了 CDN,而很多小站子站點(diǎn)又跟主站在同一臺(tái)服務(wù)器或者同一個(gè)C段內(nèi),此時(shí)就可以通過查詢子域名對(duì)應(yīng)的 IP 來輔助查找網(wǎng)站的真實(shí)IP。

2.3 利用網(wǎng)站漏洞

這個(gè)就沒什么好說的了,目的就是讓目標(biāo)服務(wù)器主動(dòng)來連接我們,這樣我們就知道其真實(shí)IP了,可用的比如XSS盲打,命令執(zhí)行反彈shell,SSRF等等。

2.4 服務(wù)器合法服務(wù)主動(dòng)連接我們

同上一樣的思路就是讓服務(wù)器主動(dòng)連接我們告訴我們它的IP,不過使用的是合法的服務(wù),如RSS郵件訂閱,很多網(wǎng)站都自帶 sendmail,會(huì)發(fā)郵件給我們,此時(shí)查看郵件源碼里面就會(huì)包含服務(wù)器的真實(shí) IP 了。

2.5 使用國外主機(jī)解析域名

國內(nèi)很多 CDN 廠商因?yàn)楦鞣N原因只做了國內(nèi)的線路,而針對(duì)國外的線路可能幾乎沒有,此時(shí)我們使用國外的主機(jī)直接訪問可能就能獲取到真實(shí)IP。

2.6 目標(biāo)敏感文件泄露

也許目標(biāo)服務(wù)器上存在一些泄露的敏感文件中會(huì)告訴我們網(wǎng)站的IP,另外就是如 phpinfo之類的探針了。

2.7 從 CDN 入手

無論是用社工還是其他手段,反正是拿到了目標(biāo)網(wǎng)站管理員在CDN的賬號(hào)了,此時(shí)就可以自己在CDN的配置中找到網(wǎng)站的真實(shí)IP了。

2.8 用 Zmap 掃全網(wǎng)?

這個(gè)我沒試過不知道...據(jù)說 Zmap 44分鐘掃描全網(wǎng)?

好吧,還是稍微詳細(xì)說下吧,比如要找 xiaix.me 網(wǎng)站的真實(shí) IP,我們首先從 apnic 獲取 IP 段,然后使用 Zmap 的 banner-grab 掃描出來 80 端口開放的主機(jī)進(jìn)行 banner 抓取,最后在 http-req 中的 Host 寫 xiaix.me。

大概就這些了吧,其他的什么像 DDoS 把 CDN 流量打光的這種就算了吧,最好還是別干擾到人家網(wǎng)站的正常運(yùn)轉(zhuǎn)吧。

2017.5.18 補(bǔ)充

上文2.8中提到是基于Banner匹配進(jìn)行查找的,這方面shodan和zoomeye等網(wǎng)站都可以實(shí)現(xiàn),那么有沒有可以搜索網(wǎng)頁標(biāo)題、內(nèi)容的方法,這樣,我就能找到哪些服務(wù)器上運(yùn)行的網(wǎng)站是與我要找的一致,從而能找出真實(shí)的服務(wù)器IP。在圈子里混,朋友推薦一個(gè)新的IOT搜索引擎,跟前面提到的兩個(gè)相似,叫fofa,WWW.FOFA.SO,其優(yōu)點(diǎn)是支持HTML源代碼檢索

舉例:找到www.5173.com的真實(shí)IP

使用ping命令,返回信息有"49k6959vz6ea10u8.alicloudsec.com (218.11.3.155)",這就是使用了CDN服務(wù)的信號(hào),顯然是阿里云。

>ping www.5173.com

正在 Ping 49k6959vz6ea10u8.alicloudsec.com [180.97.163.234] 具有 32 字節(jié)的數(shù)據(jù):
來自 180.97.163.234 的回復(fù): 字節(jié)=32 時(shí)間=78ms TTL=43
來自 180.97.163.234 的回復(fù): 字節(jié)=32 時(shí)間=73ms TTL=43
來自 180.97.163.234 的回復(fù): 字節(jié)=32 時(shí)間=16ms TTL=43
來自 180.97.163.234 的回復(fù): 字節(jié)=32 時(shí)間=23ms TTL=43

訪問www.5173.com,源代碼內(nèi)顯示標(biāo)題有很特別的內(nèi)容『網(wǎng)絡(luò)游戲交易平臺(tái)|手游交易|裝備交易|游戲幣交易|帳號(hào)交易|點(diǎn)卡充值|代練服務(wù)-是國內(nèi)最權(quán)威最安全的游戲交易平臺(tái)-5173.com』,包含有根域名5173.com,這種title是非常特殊的,用來檢索,就能找到WWW.5173.COM的真實(shí)IP

然后在fofa中將這個(gè)標(biāo)題內(nèi)容作為關(guān)鍵詞搜索,使用語法『title="網(wǎng)絡(luò)游戲交易平臺(tái)|手游交易|裝備交易|游戲幣交易|帳號(hào)交易|點(diǎn)卡充值|代練服務(wù)-是國內(nèi)最權(quán)威最安全的游戲交易平臺(tái)-5173.com"』

18-2.png

在下面的截屏,包含了www.5173.com的真實(shí)IP:

最后,訪問http://180.97.163.234,如果網(wǎng)站可以打開,內(nèi)容與www.5173.com是一致的,那么這就是真實(shí)IP;如果網(wǎng)站不可以打開,有可能這個(gè)是CDN,也有可能是一個(gè)虛擬主機(jī)服務(wù)器。使用 ip=="180.97.163.234"

18-4.png

注:還可以通過以下網(wǎng)站工具來獲取真是ip
https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
http://toolbar.netcraft.com/site_report?url=
http://viewdns.info/
https://tools.ipip.net/cdn.php
www.ip138.com
https://securitytrails.com/
https://x.threatbook.cn/
https://dnsdb.io/zh-cn/
https://fofa.so/ 注:在目標(biāo)網(wǎng)站找到TDK中的title,然后去https://fofa.so/網(wǎng)站搜索。

以上內(nèi)容主要來源于網(wǎng)絡(luò),主要轉(zhuǎn)載于https://xiaix.me/rao-guo-cdncha-zhao-wang-zhan-zhen-shi-ip/

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容