Day15：信息打点-CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件

目录

CDN前置知识

前置后置-CDN服务-识别&绑定访问

某应用-CDN绕过-主动漏洞&遗留文件

某应用-CDN绕过-邮件系统

某应用-CDN绕过-全网扫描

思维导图

---

章节知识点

Web：语言/CMS/中间件/数据库/系统/WAF等

系统：操作系统/端口服务/网络环境/防火墙等

应用：APP对象/API接口/微信小程序/PC应用等

架构：CDN/前后端/云应用/站库分离/OSS资源等

技术：JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等

技术：指纹识别/Github监控/CDN绕过/WAF识别/蜜罐识别等

CDN前置知识

原理：内容分发服务，旨在提高访问速度 影响：隐藏真实源IP，导致对目标测试错误

CDN在作用时类似于种子下载，如果该区域最近有人访问过这个站点，就会在CDN节点留下一份缓存，该区域其他人访问速度就会加快

1.传统访问：用户访问域名–>解析服务器IP–>访问目标主机
2.普通CDN：用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机
3.带WAF的CDN：用户访问域名–>CDN节点（WAF）–>真实服务器IP–>访问目标主机

对渗透测试的影响：主要在对主机IP的信息收集，收集的会是节点的信息

国内服务商：
阿里云  百度云  七牛云 
又拍云 腾讯云  Ucloud
360  网宿科技 ChinaCache

国外服务商
CloudFlare StackPath Fastly
Akamai CloudFront Edgecast
CDNetworks Google Cloud CDN
CacheFly Keycdn Udomain CDN77

CDN配置

配置1：加速域名-需要启用加速的域名

        方式：子域名获取真实IP 失效 (加速配置有关系)

        *.xiaodi8.com 所有子域名都加速 (失效)

        www.xiaodi8.com 加速

        bbs.xiaodi8.com 不加速

        子域名和域名又可能是在同一IP或网段
配置2：加速区域-需要启用加速的地区

        方式：国外访问获取真实IP
配置3：加速类型-需要启用加速的资源

        方式：证书

CDN绕过参考文章：干货 | 渗透测试中最全的CDN绕过总结

绕过相关资源：

超级Ping：http://www.17ce.com/

超级Ping：https://ping.chinaz.com/

接口查询：https://get-site-ip.com/

接口查询：https://fofa.info/extensions/source

国外请求：https://tools.ipip.net/cdn.php

国外请求：https://boce.aliyun.com/detect/

IP社区库：https://www.cz88.net/geo-public

全网扫描：https://github.com/Tai7sy/fuckcdn

全网扫描：https://github.com/boy-hack/w8fuckcdn

全网扫描：https://github.com/Pluto-123/Bypass_cdn

常见方法：
子域名，邮件系统，国外访问，证书查询，APP抓包，网络空间
通过漏洞或泄露获取，扫全网，以量打量，第三方接口查询等

前置后置-CDN服务-识别&绑定访问

超级Ping：网站测速|网站速度测试|网速测试|电信|联通|网通|全国|监控|CDN|PING|DNS 一起测试|17CE.COM
超级Ping：多个地点Ping服务器,网站测速 - 站长工具
各地ping（出现多个IP即启用CDN服务）

只加速主站点，很容易被相关域名获取到真实IP

但是这个IP并不是100%真实的，因为子域名和主域名并不在同一个服务器上

配置加速选项中只加速主域名，导致其他子域名未加速（解析IP可能同IP也可能C段）

使用网络空间&第三方功能集合查询判断

接口查询：https://get-site-ip.com/

接口查询：https://fofa.info/extensions/source

FOFA主要针对查国外的(准确的)，国内有法律风险！

某应用-CDN绕过-主动漏洞&遗留文件

漏洞如：SSRF RCE等

利用漏洞让对方真实服务器主动出网连接，判断来源IP即真实IP

对方服务器主动访问网络上的资源，就会暴露自己的IP。

可以使用自己的本地服务器构造资源

遗留文件(配置性文件)：phpinfo类似功能
通过访问类似PHPINFO类似代码函数获取本地IP造成的地址泄漏

这个IP是内网的IP，如果不在内网就是真实IP，比较看运气

某应用-CDN绕过-邮件系统

邮件服务器在解析时是MX类型的，是无法被CDN解析的

判断条件：发信人是当前域名邮件用户名

常见的邮件触发点有：

1、RSS订阅

2、邮箱注册、激活处

3、邮箱找回密码处

4、产品更新的邮件推送

5、某业务执行后发送的邮件通知

6、员工邮箱、邮件管理平台等入口处的忘记密码

方式一：让他主动给你发（对方服务器不是第三方）

部署架设的邮件服务器(以自己域名搭建的)如果向外部用户发送邮件的话，

那么邮件头部的源码中会包含此邮件服务器的真实IP地址。

网址：墨者学院_专注于网络安全人才培养

点击显示原文即可获取到真实ip

但是如果该企业没有邮件系统，是使用别人的，比如QQ等，这种方式就失效了

方式二：你给未知邮箱发：（需要自己的邮件服务器不能第三方）

通过发送邮件给一个不存在的邮箱地址，因为该用户邮箱不存在，所以发送将失败，

并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。

邮件服务器(非第三方)发邮件给 sss@mail.mozhe.cn 这样会把这封邮件发送给 对方邮件服务器，对方会把邮件退还给我们，也相当于对方主动给我们发邮件

某应用-CDN绕过-全网扫描

某应用-CDN绕过-全网扫描
1、判断加速厂商
2、IP库筛地址段
3、配置范围扫描

先从IP段去扫描符合开放端口，再从IP去访问看看关键字，将符合结果进行保存！

厂商查询：https://tools.ipip.net/cdn.php

工具项目：
https://www.cz88.net/geo-public
https://github.com/Tai7sy/fuckcdn

• 首先通过阿里云服务器+宝塔+zblog搭建博客
• 在博客中更改网站标题等（方便后面填写set.int文件筛选关键词）
• 通过厂商查询：查询到cdn服务商
• https://tools.ipip.net/cdn.php
• 通过ip软件获取到阿里云ip服务范围
• 找到相关范围直接填写进fuckcdn相关目录下的ip.txt中
• 找到文件目录下set.ini只需要修改url：目标网址 和 str；关键词筛选
  • 遇到问题：英文关键词筛选出的有关IP很多
  • 解决：更改为中文关键词即可
• 直接找到fuckcdn.exe,点击运行即可
  • 遇到问题：找不到fuckcdn.exe
  • 解决：重新解压，解压前需要关闭火绒等安全防护软件
• 在ip:port:处写上本机电脑的IP地址，不知道的可以cmd+ipconfig
• 等待程序执行完毕后，打开目录发现多出result_ip.txt，这就是最终结果

创建网站

查一下服务器运营商

查运营商的IP段

配置set.ini文件

设置扫描IPD段

ping www.wusuowei.top   把 ip:port 输给工具

工具开始扫描

在result.txt文件保存结果

思维导图