目标:对https://sxtxxx.xyz:2096/网站溯源真实IP。
可以看到,直接访问目标网站无法访问。
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
在fofa网站查询该网站域名没有结果
◆ ◆ ◆ ◆ ◆
添加图片注释,不超过 140 字(可选)
通过站长之家多地ping检测工具,发现存在CDN加速。通过CDN加速信息,可以发现是国外的CDN加速厂商“泛播Cloudflare”(主流国外CDN加速厂商还有fastly、akamai、azure CDN(微软) Amazon CloudFront(亚马逊))。
◆ ◆ ◆ ◆ ◆
添加图片注释,不超过 140 字(可选)
确定该网站存在CDN加速后,溯源真实IP一般可以有查看该域名历史绑定IP、SSL证书绑定的IP、查找子域名绑定的IP、网站邮件头信息等方式。其中,在查询域名历史绑定IP的方法中如果主域查不到,可以尝试只查子域。
使用"https://dnsdumpster.com/"网站查询网站历史绑定的IP。由上图可以得知IP地址的来源是Cloudflare,即为CDN的某一个节点。所以无法由此得出真实IP。
◆ ◆ ◆ ◆ ◆
添加图片注释,不超过 140 字(可选)
使用另一方法:查看该网站SSL证书绑定的IP。
使用"https://search.censys.io/"网站查询网站SSL证书绑定的IP。
◆ ◆ ◆ ◆ ◆
添加图片注释,不超过 140 字(可选)
根据案发节点推出证书申请的时间节点,点击该项,查看详情获得证书指纹。
◆ ◆ ◆ ◆ ◆
添加图片注释,不超过 140 字(可选)
再反查该指纹得到真实ip。原因是该网站域名的访问端口是2096,所以可以断定该IP为真实IP。
◆ ◆ ◆ ◆ ◆
总结:
此次网站溯源IP完全依靠开源情报信息进行获取。其主要是依靠思路与资源的整合得到真实IP。
资源:
在线 DNS 记录查询 https://x.threatbook.com/ https://dnsdb.io/zh-cn/ https://dnsdumpster.com/ https://viewdns.info/ https://www.robtex.com/dns-lookup/ https://www.virustotal.com/gui/home/search https://passivedns.mnemonic.no/
https://search.censys.io/
SSL绑定证书查询:
https://search.censys.io/
https://duyaoss.com/