一.DNS历史解析记录
查询域名的历史解析记录,可能会找到网站使用CDN前的解析记录,从而获取真实IP。
二、查找子域名
很多时候,一些重要的站点或境外网站针对境内使用者会做CDN,而一些子域名站点或者针对境外使用者并没有加入CDN,而且跟主站在同一个C段内,这时候,就可以通过查找子域名来查找网站的真实IP。
三、网站邮件头信息
比如说,邮箱注册,邮箱找回密码、RSS邮件订阅等功能场景,通过网站给自己发送邮件,从而让目标主动暴露他们的真实的IP,查看邮件头信息,获取到网站的真实IP。
四、国外主机解析域名
大部分 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的DNS查询,很可能获取到真实IP。
五、配置不当导致绕过
在配置CDN的时候,需要指定域名、端口等信息,有时候小小的配置细节就容易导致CDN防护被绕过。
案例1:为了方便用户访问,我们常常将www.test.com 和 test.com 解析到同一个站点,而CDN只配置了www.test.com,通过访问test.com,就可以绕过 CDN 了。
案例2:站点同时支持http和https访问,CDN只配置 https协议,那么这时访问http就可以轻易绕过。
六、多地ping
使用在线网站ping目标,如果得出不同的ip,我们可以判断不同国家或地区是否使用cdn来得出真实ip。
七、流量攻击
发包机可以一下子发送很大的流量。这个方法是很笨,但是在特定的目标下渗透,建议采用。
cdn除了能隐藏ip,可能还考虑到分配流量不设防的cdn 量大就会挂,高防cdn 要大流量访问。
经受不住大流量冲击的时候可能会显示真实ip。
八、利用老域名
换新域名时,常常将 CDN 部署到新的域名上,而老域名由于没过期,可能未使用 CDN,然后就可以直接获取服务器真实 ip。
例如:
patrilic.top > http://patrilic.com
域名更新时,可能老域名同时解析到真实服务器,但是没有部署 CDN 这个可以通过搜集域名备案的邮箱去反查,可能会有意外收获。
九、APP
如果网站有APP,使用Fiddler或Burp Suite抓取APP请求,从中找到真实IP。
十、绕过cdn的流程
找到真实ip之后,与hosts文件绑定,实现能够直接用ip或域名访问目标真实服务器。
十一、F5LTM解码法
当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取,
例如:
Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。
十二、漏洞利用
漏洞利用,比如SSRF、XXE、XSS、文件上传等漏洞,或者我们找到的其他突破口,注入包含我们自己服务器地址的payload,然后在服务器上检查对应的日志。
转自公众号《网络空间取证服务专家》