信息搜集之CDN知识

文章来源于漏洞挖掘之路信息搜集之CDN知识

CDN基础

CDN简介

CDN的全称是Content Delivery Network，即内容分发网络。 通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。

CDN工作原理

用户访问域名，浏览器查看本地dns缓存，没有则请求DNS服务器。DNS域名解析设置了CNAME，指向了 xxx.yyy.com，即请求指向了CDN网络中的智能DNS负载均衡系统。智能DNS负载均衡系统解析域名，把对用户响应速度最快的IP节点返回给用户。用户向该IP节点发起请求，第一次访问，CDN服务器会向原web站点请求，并 缓存内容。

​CDN设置

加速域名

在开启CDN服务的时候，可设置需要加速的域名，例：

aaa.com www.aaa.com *.aaa.com aaa.aaa.com 单个子域名

如果在设置的时候只设置了www.aaa.com，其他子域名未设置的话，则可以直接访问找到源服务器IP地址，前提是目标域名和收集到的子域名在同一服务器。

加速类型（场景）

小文件 大文件 视音频点播 全站加速

如果只设置了部分则其他业务未设置，可直接找到源IP

​

加速区域设置

仅中国内地 全球 海外等

如果只设置了内地，则可以通过海外ping得到真实ip地址

​

加速时间段

全时段（0.00~24.00） 日间时段（9.00~18.00） 闲时段（0.00~9.00）

通信协议

http https

如果单独设置了http或https，则单独访问另一个可直接获取源服务器ip

​

判断标准

普通nslookup

nslookup wk.dyaq.top nslookup dyaq.top nslookup www.qq.com

​

分析：

如果返回多个应答IP则存在CDN，相反，若解析结果只有一个，则要下一步分析，如上图，dyaq.top就没有CDN，wk.dyaq.top中就存在CDN，并且名称中可以明显的看出来。

不同DNS域名解析

不同DNS域名解析对比，判断是否使用了CDN

不同DNS解析结果不一样，很有可能存在CDN服务

nslookup wk.dyaq.top 8.8.8.8 nslookup wk.dyaq.top 114.114.114.114

​

全国DNS服务器地址：https://ip.cn/dns.html

各地ping 如果出现多个IP即为开启CDN服务

在线网址如下：

http://ping.chinaz.com/ https://www.17ce.com/ https://tools.ipip.net/newping.php http://www.vsping.com/ https://www.wepcc.com/ https://www.itdog.cn/ping/ https://www.boce.com/ping https://ping.openadmintools.com/ http://www.ipuu.cn/ping.html http://www.webkaka.com/ping.aspx https://www.ping.cn/ https://viewdns.info/reverseip/ http://www.cdnplanet.com/tools/cdnfinder/ https://www.ipip.net/ip.html

CDN绕过方法

子域名解析

某些企业业务线众多，有些站点的主站使用了CDN，或者部分域名使用了CDN，某些子域名可能未使用。

收集子域名的方法有很多：如subDomainsBrute、Sublist3r、Google hack等，上篇文章信息搜集之web架构中曾简单描述过子域名的收集。

通过子域名的解析指向，也有可能指向目标的同一个IP上。

配置不当获取真实IP

在配置CDN的时候，需要指定域名、端口等信息，有时候小小的配置细节就容易导致CDN防护被绕过。

如文章开始介绍的CDN设置中的域名设置，协议设置，时间段设置，国内外设置等。

DNS历史绑定记录

查询IP与域名绑定历史记录，可能会发现使用CDN之前的目标IP

https://dnsdb.io/zh-cn/ ###DNS查询 https://x.threatbook.cn/ ###微步在线 http://toolbar.netcraft.com/site_report?url= http://viewdns.info/ ###DNS、IP等查询 http://www.17ce.com/ https://community.riskiq.com/ http://www.crimeflare.com/cfssl.html https://tools.ipip.net/cdn.php ###CDN查询IP https://sitereport.netcraft.com/?url=域名

CDN本身入手

可从CDN本身入手，比如利用社工等，得到控制面板的账号密码，或者cookie等，那么真实ip就很轻易到手了。

邮箱获取真实IP

很多站点都有发送邮件sendmail的功能，如Rss邮件订阅等。而且一般的邮件系统很多都是在内部，没有经过CDN的解析。可在邮件源码里面就会包含服务器的真实 IP。

利用服务器邮件发送业务获取ip，收到邮件后，点击右边下拉按钮，然后点击显示邮件原文。

​选中的区域则是真实ip地址

​

文件探针：扫描文件目录

遗留文件phpinfo.php文件 网站源代码，一些源代码中有时候会留有服务器IP地址 信息泄露 github信息泄露 js文件等

被动获取--利用网站漏洞

被动获取就是让服务器或网站主动连接我们的服务器，从而获取服务器的真实IP。

如果网站有编辑器可以填写远程url图片，即可获取真实IP。

如果存在ssrf漏洞 或者xss 让服务器主动连接我们的服务器 均可获取真实IP。

接口查询 国外访问

https://get-site-ip.com

及各地ping中的国外地址ping

Zmap大法扫遍全网

可用FuckCDN进行全网扫描，同类软件都行。

项目地址：https://github.com/Tai7sy/fuckcdn

将获取到的ip段进行扫描，即可大概率得到源IP

网络空间引擎搜索

shodan，fofa，zoomeye，hunter，360quake等

通过这些公开的安全搜索引擎爬取得历史快照，主要的一些特征总结如下：

特有的http头部、特定keyword、特定的ip段搜索、有时候可能不含有上面特征，仔细检查即可。

ico图标通过搜索找真实ip

浏览器f12打开保存ico图标到本地。使用搜索引擎搜索即可。

全世界DNS地址（自测）

http://www.ab173.com/dns/dns_world.php https://dnsdumpster.com/ https://dnshistory.org/ http://whoisrequest.com/history/ https://completedns.com/dns-history/ http://dnstrails.com/ https://who.is/domain-history/ http://research.domaintools.com/research/hosting-history/ http://site.ip138.com/ http://viewdns.info/iphistory/ https://dnsdb.io/zh-cn/ https://www.virustotal.com/ https://x.threatbook.cn/ http://viewdns.info/ http://www.17ce.com/ http://toolbar.netcraft.com/site_report?url= https://securitytrails.com/ https://tools.ipip.net/cdn.php

国外请求

https://tools.ipip.net/cdn.php

https://www.17ce.com/

APP获取真实ip

搜集APP里的子域名等信息，然后获取真实IP。

流量攻击

CDN一般都有特定流量，一般情况下流量全部用完即可找到真实IP，这个方法虽笨，但是在特定的目标下可以采用。

长期关注

在长期渗透的时候，设置程序每天访问网站，可能有新的发型。每天零点或者业务需求增大，它会换IP服务器的。

在找到真实IP后，可绑定到hosts文件中，进行下一步渗透测试。

漏洞挖掘之路星球限时免费开放（2022/3/27-2022/4/3），更多详情进群了解，QQ群622816049

更多知识关注下方公众号和知识星球

微信公众号：漏洞挖掘之路

知识星球：漏洞挖掘之路

原文地址：信息搜集之CDN知识