0x01 考证能否存在CDN

办法1：

很简单，运用各种多地 ping 的效劳，查看对应 IP 地址能否独一，假如不独一多半是运用了CDN， 多地 Ping 网站有：
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
 

办法2：

运用 nslookup 停止检测，原理同上，假如返回域名解析对应多个 IP 地址多半是运用了 CDN。有 CDN 的示例：

 

www.163.com
效劳器: public1.114dns.com
Address: 114.114.114.114

非权威应对:
称号: 163.xdwscache.ourglb0.com
Addresses: 58.223.164.86

125.75.32.252
Aliases: www.163.com

www.163.com.lxdns.com

 

无 CDN 的示例：

xiaix.me
效劳器: public1.114dns.com
Address: 114.114.114.114

非权威应对:
称号: xiaix.me
Address: 192.3.168.172

0x02 绕过 CDN 查找网站真实 IP

办法1:查询历史DNS记载

1）查看 IP 与 域名绑定的历史记载，可能会存在运用 CDN 前的记载，相关查询网站有：
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP

 

2）应用SecurityTrails平台（https://securitytrails.com/），攻击者就能够精准的找到真实原始IP。他们只需在搜索字段中输入网站域名，然后按Enter键即可，这时“历史数据”就能够在左侧的菜单中找到。

如何寻觅躲藏在CloudFlare或TOR背后的真实原始IP

除了过去的DNS记载，即便是当前的记载也可能走漏原始效劳器IP。例如，MX记载是一种常见的查找IP的方式。假如网站在与web相同的效劳器和IP上托管本人的邮件效劳器，那么原始效劳器IP将在MX记载中。
 

办法2:查询子域名

毕竟 CDN 还是不廉价的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台效劳器或者同一个C段内，此时就能够经过查询子域名对应的 IP 来辅助查找网站的真实IP。

下面引见些常用的子域名查找的办法和工具：

1）微步在线(https://x.threatbook.cn/)

上文提到的微步在线功用强大，黑客只需输入要查找的域名(如baidu.com)，点击子域名选项就能够查找它的子域名了，但是免费用户每月只要5次免费查询时机。如图：

2）Dnsdb查询法。(https://dnsdb.io/zh-cn/)

黑客只需输入baidu.com type:A就能搜集百度的子域名和ip了。如图：

3）Google 搜索

Google site:baidu.com -www就能查看除www外的子域名，如图：

4）各种子域名扫描器

这里，主要为大家引荐子域名发掘机和lijiejie的subdomainbrute(https://github.com/lijiejie/subDomainsBrute)

子域名发掘机仅需输入域名即可基于字典发掘它的子域名

Subdomainbrute以windows为例，黑客仅需翻开cmd进入它所在的目录输入Python subdomainbrute.py baidu.com –full即可搜集百度的子域名，如图：

注：搜集子域名后尝试以解析ip不在cdn上的ip解析主站，真实ip胜利被获取到。
 

办法3：网络空间引擎搜索法

常见的有以前的钟馗之眼，shodan，fofa搜索。以fofa为例，只需输入：title:“网站的title关键字”或者body：“网站的body特征”就能够找出fofa收录的有这些关键字的ip域名，很多时分能获取网站的真实ip，如图：

 

办法4:应用SSL证书寻觅真实原始IP

运用给定的域名

假设你在xyz123boot.com上托管了一个效劳，原始效劳器IP是136.23.63.44。 而CloudFlare则会为你提供DDoS维护，Web应用程序防火墙和其他一些平安效劳，以维护你的效劳免受攻击。为此，你的Web效劳器就必需支持SSL并具有证书，此时CloudFlare与你的效劳器之间的通讯，就像你和CloudFlare之间的通讯一样，会被加密（即没有灵敏的SSL存在）。这看起来很平安，但问题是，当你在端口443（https://136.23.63.44:443）上直接衔接到IP时，SSL证书就会被暴露。

此时，假如攻击者扫描0.0.0.0/0，即整个互联网，他们就能够在端口443上获取在xyz123boot.com上的有效证书，进而获取提供应你的Web效劳器IP。

目前Censys工具就能完成对整个互联网的扫描，Censys是一款用以搜索联网设备信息的新型搜索引擎，平安专家能够运用它来评价他们完成计划的平安性，而黑客则能够运用它作为前期侦查攻击目的、搜集目的信息的强大利器。Censys搜索引擎可以扫描整个互联网，Censys每天都会扫描IPv4地址空间，以搜索一切联网设备并搜集相关的信息，并返回一份有关资源（如设备、网站和证书）配置和部署信息的总体报告。

而攻击者独一需求做的就是把上面用文字描绘的搜索词翻译成实践的搜索查询参数。

xyz123boot.com证书的搜索查询参数为：parsed.names：xyz123boot.com

只显现有效证书的查询参数为：tags.raw：trusted

攻击者能够在Censys上完成多个参数的组合，这能够经过运用简单的布尔逻辑来完成。

组合后的搜索参数为：parsed.names: xyz123boot.com and tags.raw: trusted

Censys将向你显现契合上述搜索条件的一切规范证书，以上这些证书是在扫描中找到的。

要逐一查看这些搜索结果，攻击者能够经过单击右侧的“Explore”，翻开包含多个工具的下拉菜单。What's using this certificate? > IPv4 Hosts

此时，攻击者将看到一个运用特定证书的IPv4主机列表，而真实原始 IP就藏在其中。

你能够经过导航到端口443上的IP来考证，看它能否重定向到xyz123boot.com？或它能否直接在IP上显现网站？

运用给定的SSL证书

假如你是执法部门的人员，想要找出一个躲藏在cheesecp5vaogohv.onion下的儿童色情网站。做好的方法，就是找到其原始IP，这样你就能够追踪到其托管的效劳器，以至查到背后的运营商以及金融线索。

躲藏效劳具有SSL证书，要查找它运用的IPv4主机，只需将"SHA1 fingerprint"（签名证书的sha1值）粘贴到Censys IPv4主机搜索中，即可找到证书，运用此办法能够轻松找到配置错误的Web效劳器。
 

办法5:应用HTTP标头寻觅真实原始IP

借助SecurityTrails这样的平台，任何人都能够在茫茫的大数据搜索到本人的目的，以至能够经过比拟HTTP标头来查找到原始效劳器。

特别是当用户具有一个十分特别的效劳器称号与软件称号时，攻击者找到你就变得更容易。

假如要搜索的数据相当多，如上所述，攻击者能够在Censys上组合搜索参数。假定你正在与1500个Web效劳器共享你的效劳器HTTP标头，这些效劳器都发送的是相同的标头参数和值的组合。而且你还运用新的PHP框架发送独一的HTTP标头（例如：X-Generated-Via：XYZ框架），目前约有400名网站管理员运用了该框架。而最终由三个效劳器组成的交集，只需手动操作就能够找到了IP，整个过程只需求几秒钟。

例如，Censys上用于匹配效劳器标头的搜索参数是80.http.get.headers.server :，查找由CloudFlare提供效劳的网站的参数如下：

80.http.get.headers.server:cloudflare

 

办法6:应用网站返回的内容寻觅真实原始IP

假如原始效劳器IP也返回了网站的内容，那么能够在网上搜索大量的相关数据。

阅读网站源代码，寻觅共同的代码片段。在JavaScript中运用具有访问或标识符参数的第三方效劳（例如Google Analytics，reCAPTCHA）是攻击者经常运用的办法。

以下是从HackTheBox网站获取的Google Analytics跟踪代码示例：

ga（'create'，'UA-93577176-1'，'auto'）;
能够运用80.http.get.body：参数经过body/source过滤Censys数据，不幸的是，正常的搜索字段有局限性，但你能够在Censys恳求研讨访问权限，该权限允许你经过Google BigQuery停止更强大的查询。

Shodan是一品种似于Censys的效劳，也提供了http.html搜索参数。

搜索示例：https://www.shodan.io/search?query=http.html%3AUA-32023260-1

 

办法7:运用国外主机解析域名

国内很多 CDN 厂商由于各种缘由只做了国内的线路，而针对国外的线路可能简直没有，此时我们运用国外的主机直接访问可能就能获取到真实IP。

 

办法8:网站破绽查找

1）目的敏感文件泄露，例如：phpinfo之类的探针、GitHub信息泄露等。
2）XSS盲打，命令执行反弹shell，SSRF等。
3）无论是用社工还是其他手腕，拿到了目的网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP。

 

办法9:网站邮件订阅查找

RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含效劳器的真实 IP 了。

 

办法10：用 Zmap 扫全网

需求找 xiaix.me 网站的真实 IP，我们首先从 apnic 获取 IP 段，然后运用 Zmap 的 banner-grab 扫描出来 80 端口开放的主机停止 banner 抓取，最后在 http-req 中的 Host 写 xiaix.me。

 

办法11：F5 LTM解码法

当效劳器运用F5 LTM做负载平衡时，经过对set-cookie关键字的解码真实ip也可被获取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的真实ip。

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。