fofa域名检测存活工具_检测cdn和寻找真实ip的一些方法总结

0x00：检测cdn

1.nslookup:

有无cdn的实例，返回多个ip肯定有cdn，但是返回一个ip不一定就是真实ip，这时候要结合多种方法判断。

2. 多地ping:

相关网站：

ping.chinaz.com

https://ping.aizhan.com

返回多个ip则存在cdn，返回相同ip几乎就是真实ip了。

//多地ping可能获取到真实ip。

3. 响应头：

www.12306.cn的响应头

Accept-Ranges: bytes

null: HTTP/1.1 200 OK

X-Cache: HIT from cache.51cdn.com

X-Via: 1.1 zib232:4 (Cdn Cache Server V2.0), 1.1 xz115:6 (Cdn Cache Server V2.0)

Connection: keep-alive

Last-Modified: Fri, 24 Oct 2014 09:24:58 GMT

Content-Length: 1480

Age: 22852

Date: Sat, 14 Oct 2017 04:22:44 GMT

X-Powered-By: Servlet/2.5 JSP/2.1

Content-Type: text/html

从响应头字段可以看出cdn相关信息。

5. cdn厂商ip列表

0x01：寻找真实ip

1.去除www：

如www.xxx.com用了cdn，xxx.com可能就没用cdn。

2. 二级域名：

找到没用cdn的二级域名的ip，修改host绑定到目标域名，能访问则目标域名和其二级域名在同服，若不在可尝试c段。

3. nslookup:

用国外的dns，最好是冷门dns，可能解析到真实ip。(也可以尝试ns/mx记录)

5. rss订阅

6. 邮件

7. 服务器漏洞：

xss/ssrf等，这就方便了……

8. dos:

打光cdn流量，回溯真实ip。

9.敏感文件泄漏：

如phpinfo探针

10. zmap全网扫描：

获取目标地域的ip段->扫描80端口->banner-grap抓取banner->http-req-host写目标域名->对过滤出的ip再次抓banner

11. fofa大法：

html源码检索，查找网站特征字符串。

12. SSL证书

parsed.names:xxx.com

443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:www.xxx.com

13. HTTP标志性头/网页返回内容

censys

80.http.get.headers.server:cloudflare

/

censys

80.http.get.body:

通过body/source过滤

shodan

http.html

14. F5 LTM解码法

当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实ip也可被获取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的真实ip。

//这种方法本人测试只能获取内网ip。

15. 其他

反查/社工cdn/旧域名可能指向真实ip。

0x02 参考资料