信息收集-CDN绕过
CDN的全称是ContentDeliveryNetwork,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。但在安全测试过程中,若目标存在CDN服务,将会影响到后续的安全测试过程。
如何判断目标存在CDN服务
利用多节点技术进行请求返回判断
- 使用超级ping进行检查
CDN对于安全测试有什么影响
在不同的地方访问的同一个网站的ip地址是不同的,因为所访问的只是对应源网站的节点,访问的数据也只是源网站缓存下来到这个节点的东西,如果要进行安全测试的话,就需要测试源网站,CDN服务的存在让我们只能进行安全测试只能测试离自己最近的节点服务器,而节点也只是缓存而已,测试了也没啥作用
目前常见的CDN绕过技术有哪些?
- 子域名查询
xiaodi8.com 192.168.1.100
www.xiaodi8.com 192.168.1.100
bbs.xiaodi8.com 192.168.1.100 或1.1-1.254 或者不在同个网段
前者是说明在同一个服务器中,即同个ip地址(这里主要是通过设置不同端口和通过不同域名进行访问)
中间是说明在同一个网段中间(学校,企业一般都是这么分配的)
最后是不在同一个网段中(两者关系不是很大的时候,子域名查询不考虑)
子域名查询只有在前面这两种才有意义,还有一种情况也是非常有意义的。
原理:企业业务线众多,有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。我们就可以通过某些未使用CDN服务的子域名,根据子域名来推断出我们目标主站的真实ip地址是在同一个ip还是在同一个网段
- 邮件服务查询
大部分是不会做cdn服务的,主要是内部人员在访问
正向反向进行理解
正向:我访问网站,相当于我去请求网站,自己去连接这个网站,这时候会使用cdn服务,我们看到的只是节点的IP地址
反向:邮件服务器发邮件给你,就是对方主动找你,这个时候他发给别人就不会使用cdn服务了,而是直接向我们的邮箱发送邮件,我们就可以通过这个来推断出目标网站的真实ip地址(网上有种技术:邮箱里找ip地址,根据发送者的邮件服务器发来的邮件来判断出发送者邮件服务器的真实ip地址)
- 国外地址请求
通过国外地址来访问国内目标地址,就可以找到网站的真实ip,因为它在国外可能没有部署cdn服务,没有对应的节点进行访问,就只会访问网站的真实地址
-
遗留文件
- 例子:通过查 inurl:phpinfo.php 点击进去,任意点击进去一个网站出现以下页面,在这个页面中我们就可能找到对应的网站的真实IP地址,这就是遗留文件
- 例子:通过查 inurl:phpinfo.php 点击进去,任意点击进去一个网站出现以下页面,在这个页面中我们就可能找到对应的网站的真实IP地址,这就是遗留文件
-
扫描全网(以上方法都行不通的情况下使用,下下策)
主要是借助一些工具 平台 软件
相当于全世界访问目标网站,然后判断返回的IP地址,通过IP地址的收集来收集所有的节点IP地址,然后通过分析来确定哪一个是真实的IP地址
- 黑暗引擎搜索特定文件
百度、谷歌、Shodan、zoom、zoomeye、fofa
搜索特定文件,是指每个文件都存在唯一的hash值或者md5值,通过对比来进行查找
- dns历史记录,以量打量
通过查询网站相关的DNS记录,可以查到之前没有使用CDN情况下的网站真实IP地址
以量打量也就是所谓Ddos攻击,通过消耗节点的IP地址(打光CDN上面的流量),然后达到最后访问真实IP地址的情况(人身攻击 不推荐使用)
CDN真实ip地址获取后绑定指向地址
更改本地hosts文件解析指向文件
演示案例
- 利用子域名请求获取真实ip
- 利用国外地址请求获取真实ip
- 利用第三方接口查询获取真实ip
- 利用邮件服务器接口获取真实ip
- 利用黑暗引擎搜索特定文件获取真实ip
xueersi 子域名上的小技巧
上面说子域名在另一种情况比较有意义,在这个实操这里就可以体现出来。通过域名解析成ip地址的过程中,可能出现*.xueersi.com 和 www.xueersi.com 所解析到的IP地址是一样的情况,在这种情况下,网站可能只对www.xueersi.com这个域名搭建了cdn服务,我们进行超级ping时会出现不同的IP地址,而用xueersi.com可能就没有搭建,我们可以通过超级ping发现其网站的真实IP地址(目前这个网站已经都搭建了CDN服务)
可以通过https://www.get-site-ip.com/ 这个网站进行访问,获取网站真实IP地址(结果仅供参考)
sp910 DNS历史记录=第三方接口(接口查询)
通过这个网站(https://x.threatbook.cn),获取之前对应的DNS解析记录,找到时间最早之前解析的IP地址,就可能是它的目前真实地址,为什么说是可能呢,因为从当初到现在,网站管理者可能换了台服务器导致网站真实IP地址的改变
m.sp910 子域名小技巧/采集/国外请求(同类型访问)
这里的原理其实和第一个差不多的,主要是因为我们用电脑浏览器进行访问的时候,即使我们没有加主机名,它也会加上www这个,而当我们在手机上访问的时候,在我们没有加主机名的时候,它就会主动为我们加上m这个主机名,而我们这里利用的还是对应的m.sp910没有搭建CDN服务,我们就可以直接获取到网站的真实IP地址
采集也就是通过百度子域名查询的网站(http://tools.bugscaner.com/subdomain/)来获取到对应网站的所有子域名
可以借助这个网站(https://asm.ca.com/en/ping.php)进行收集,一般出现频率最高的就是网站的真实IP地址(仅供参考)
当我们选择进行国外请求,也就fq后进行对应的ping操作,我们应该选择一些比较少见的国家,因为对于这些国家,网站可能没有搭建CDN服务,我们就可以获取到它的真实IP地址
mozhe 邮件源码测试对比第三方查询(地区分析)
通过对官网发送给我们的邮件进行源代码的分析,在received这一行中我们就可能发现对应网站的真实IP地址(较为可靠),再根据第三方工具进行真实IP地址的获取(https://www.get-site-ip.com/),我们就可能得到多个IP地址,在这基础上我们去官网了解更多信息,诸如在哪开设的,结合找到的IP地址的真实地址,最后确定出网站的真实IP地址,再把对应的IP地址在hosts文件进行绑定,用浏览器进行IP地址的访问,访问成功说明这就是网站的真实IP地址,如果没有成功就不是,即使是节点ip地址也是访问不了的
后面的内容需要用到Python
v23gg 黑暗引擎(shodan搜索hash文件)
使用的网站:https://www.shodan.io(付费)
详细操作:涉及资源的最后一个网址
扫全网(视频1:33:24详细介绍)
funkcdn w8fuckcdn zmap等
#Python2 开发别搞错了执行环境
#安装 mmh3 失败记得先安装下这个#Microsoft Visual C++ 14.0
#https://pan.baidu.com/s/12TcFkZ6KFLhofCT-osJOSg 提取码:wkgv
import mmh3
import requests
response=requests.get(‘http://www.xx.com/favicon.ico’)
favicon = response.content.encode(‘base64’)
hash = mmh3.hash(favicon)
print ‘http.favicon.hash:’+str(hash)
涉及资源
https://www.shodan.io
https://x.threatbook.cn ( 第三方接口(接口查询),有次数限制,需要花钱,也是用来参考)
http://ping.chinaz.com
https://www.get-site-ip.com/ (国外访问国内,给出的网站真实IP地址的参考 第三方接口(接口查询))
https://asm.ca.com/en/ping.php
https://github.com/Tai7sy/fuckcdn
https://github.com/boy-hack/w8fuckcdn
ip.com/ (国外访问国内,给出的网站真实IP地址的参考 第三方接口(接口查询))
https://asm.ca.com/en/ping.php
https://github.com/Tai7sy/fuckcdn
https://github.com/boy-hack/w8fuckcdn
https://mp.weixin.qq.com/s?__biz=MzA5MzQ3MDE1NQ==&mid=2653939118&idx=1&sn=945b81344d9c89431a8c413ff633fc3a&chksm=8b86290abcf1a01cdc00711339884602b5bb474111d3aff2d465182702715087e22c852c158f&token=268417143&lang=zh_CN#rd
最后感谢小迪师傅的视频!!
笔记来源视频:点击这里
1860
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
