web安全攻防（续）

1.6查找真实IP

如果目标服务器不存在CDN，可以直接通过wwwip138.com获取目标的一些IP及域名信息。绕过CDN寻找目标服务器的真实ID，可以使用以下几种情况：

1.目标服务器存在CDN
CDN即内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说得简单点，就是一组在不同运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源(例如静态的html、css、js图片等文件)直接缓存到节点服务器上，当用户再次请求时，会直接分发到在离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验。

所以如果渗透目标购买了CDN服务，可以直接ping目标的域名，但并非真正的目标web服务器，只是离我们最近的一台目标节点的CDN服务器，这就导致我们没法直接获得目标的真实ip段范围。

2.判断目标是否使用了CDN
通常会通过ping目标主域,观察域名的解析情况,以此来判断其是否使用了CDN如图1-10所示。

 

还可以利用在线网站17CE(https://www17ce.com)进行全国多地区的ping服务器操作,然后对比每个地区ping出的IP结果，查看这些IP是否一致，如果都是一样的，极有可能不存在CDN。如果IP大多不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN。
3.绕过CDN寻找真实IP
在确认了目标确实用了CDN以后，就需要绕过CDN寻找目标的真实IP，下面介绍一些常规的方法。

（1).内部邮箱源。

一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件、寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，就可以获得目标的真实IP(注意，必须是目标自己的邮件服务器，第三方或公共邮件服务器是没有用的)。
(2).扫描网站测试文件，

如phpinfo、test等，从而找到目标的真实IP。 
(3).分站域名。

很多网站主站的访问量会比较大，所以主站都是挂CDN的，但是分站可能没有挂CDN，可以通过ping二级域名获取分站IP，可能会出现分站和主站不是同一个IP但在同一个C段下面的情况，从而能判断出目标的真实IP段。

（4）.国外访问

国内的CDN往往只对国内用户的访问加速，而国外的CDN就不
一定了。因此，通过国外在线代理网站App Synthetic Monitor(https://asm.ca com/en/ping-php)访问，可能会得到真实的IP，如图1-11所示。

 （5）.查询域名的解析记录。

也许目标很久以前并没有用过CDN，所以可以通过网站NETCRAFT(https://www.netcraft.com/)来观察域名的IP历史记录，也可以大致分析出目标的真实IP段。
（6）.如果目标网站有自己的App，

可以尝试利用Fiddler或Burp Suite抓取App的请求，从里面找到目标的真实IP。
（7）.绕过CloudFlare CDN查找真实IP。

现在很多网站都使用CloudFlare提供的 CDN服务，在确定了目标网站使用CDN后，可以先尝试通过在线网站Cloud FlareWatch(http://www.crimeflare.us/cfs.html#box)对CloudFlare客户网站进行真实IP查询，结果如图1-12所示。

 

4.验证获取的IP

找到目标的真实IP以后，如何验证其真实性呢?如果是Web，最简单的验证方法是直接尝试用IP访问，看看响应的页面是不是和访问域名返回的一样:或者在目标段比较大的情况下，借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP，然后逐个尝试IP访问，观察响应结果是否为目标站点。
1.7收集敏感目录文件
在渗透测试中，探测Web目录结构和隐藏的敏感文件是一个必不可少的环节，从中可以获取网站的后台管理页面、文件上传界面，甚至可能扫描出网站的源代码。
针对网站目录的扫描主要有DirBuster、御剑后台扫描珍藏版、wwwscan、 Spinderpy(轻量级快速单文件目录后台扫描)、Sensitivefilescan(轻量级快速单文件目录后台扫描)、Weakfilescan(轻量级快速单文件目录后台扫描)等工具。

DirBuster

DirBuster是OWASP开发的一款基于Java编写的、专门用于探测Web服务器的目录和隐藏文件。使用的基本步骤如下。

在Target URL输入框中输入要扫描的网址，扫描时将请求方法设置为“Auto Switch(HEAD and GET)”选项。

设置线程的数值，推荐在20~30之间。太大了容易引起系统死机。
选择扫描类型，如果使用个人字典扫描，则选择“List based brute force”选项。单击“Browse”选择字典，可以选择工具自带的字典，也可以选择自己的字典。在Select starting options中选择“URLFuzz”方式进行扫描。设置fuzzing时需要注意，在URL to fuzz里输入“/{dir}”。这里的{dir}是一个变量，用来代表字典中的每一行，如图1-13所示。

 

如果你扫描的目标是http://wwwxxxcom/admin/，那么就要在URLtofuzz里填写“/admin/{dir}”，意思是在“{dir}”的前后可以随意拼接你想要的目录或者后缀，例如输入“:/admin/{dir}.php”就表示扫描admin目录下的所有php文件。
除此之外，读者还可以利用很多在线工具站，效果也相当不错，推荐: WebScan(http://wwwwebscancc/)。

1.8 社会工程学

假设攻击者对一家公司进行渗透测试，正在收集目标的真实IP阶段，此时就可以利用收集到的这家公司的某位销售人员的电子邮箱。首先，给这位销售人员发送就件，假装对某个产品很感兴趣，显然销售人员会回复邮件。这样攻击者就可以通过分析邮件头来收集这家公司的真实IP地址及内部电子邮件服务器的相关信息。
通过进一步地应用社会工程学，假设现在已经收集了目标人物的邮箱、QQ、电话号码、姓名，以及域名服务商，也通过爆破或者撞库的方法获取邮箱的密码，这时就可以冒充目标人物要求客服人员协助重置域管理密码，甚至技术人员会帮着重置密码，从而使攻击者拿下域管理控制台，然后做域劫持。
除此以外，还可以利用“社工库”查询想要得到的信息，如图1-14所示，社工库是用社会工程学进行攻击时积累的各方数据的结构化数据库。这个数据库里有大量信息，甚至可以找到每个人的各种行为记录。利用收集到的邮箱，可以在社工库中找到已经泄露的密码，其实还可以通过搜索引擎搜索到社交账号等信息，然后通过利用社交和社会工程学得到的信息构造密码字典，对目标用户的邮箱和OA账号进行爆破或者撞库。