前置知识:
- 传统访问:用户访问域名–>解析服务器IP–>访问目标主机
- 普通CDN:用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机
- 带WAF的CDN:用户访问域名–>CDN节点(WAF)–>真实服务器IP–>访问目标主机
国内服务商:
阿里云 百度云 七牛云
又拍云 腾讯云 Ucloud
360 网宿科技 ChinaCache
国外服务商
CloudFlare StackPath Fastly
Akamai CloudFront Edgecast
CDNetworks Google Cloud CDN
CacheFly Keycdn Udomain CDN77
CDN 配置:
- 配置1:加速域名-需要启用加速的域名
子域名获取真实的IP
www.yuming.com
bbs.yuming.com
与加速域名配置有关系
如果设置了加速域名为*.yuming.com ,则会对所有的子域名进行加速,就无法根据子域名去尝试获取真实的IP
如果只设置了对www.yuming.com进行加速,则可以通过ping bbs.yuming.com去尝试获取真实的IP,因为子域名和域名有可能是在同一IP或者同一网段 - 配置2:加速区域-需要启用加速的地区
如果加速区域设置为国内的话,就可以使用国外访问去尝试获取真实IP - 配置3:加速类型-需要启用加速的资源
➢前置后置-CDN服务-识别&绑定访问
识别:
- 超级ping:http://17ce.com/
- 超级ping:https://ping.chinaz.com/
如果各个地区ping出多个IP,则说明启用了CDN
绑定访问:
- 后置:绑定HOST访问解析
修改HOSTS文件,将域名与IP进行强行绑定,若IP不对则ping不通,域名访问也访问不了
格式:IP 域名
➢某应用-CDN绕过-子域名&接口查询
配置加速选项中只加速主域名,导致其他子域名未加速(解析IP可能同IP也可能C段)
接口查询:https://get-site-ip.com/
接口查询:https://fofa.info/extensions/source
使用网络空间&第三方功能集合查询判断
➢某应用-CDN绕过-主动漏洞&遗留文件
- 漏洞如:SSRF RCE等
利用漏洞让对方真实服务器主动出网连接,判断来源IP即真实IP - 遗留文件:phpinfo类似功能
通过访问类似PHPINFO类似代码函数获取本地IP造成的地址泄漏
➢某应用-CDN绕过-邮件系统&全网扫描
邮件系统搭建时记录类型一般设置为MX(将域名指向邮件服务器地址),不能设置CDN
判断条件:发件人是当前域名邮件用户名
- 让他主动给你发:
部署架设的邮件服务器如果向外部用户发送邮件的话,
那么邮件头部的源码中会包含此邮件服务器的真实IP地址。- 常见的邮件触发点有:
- RSS订阅
- 邮箱注册、激活处
- 邮箱找回密码处
- 产品更新的邮件推送
- 某业务执行后发送的邮件通知
- 员工邮箱、邮件管理平台等入口处的忘记密码
- 常见的邮件触发点有:
- 你给未知邮箱发:(需要自己的邮件服务器不能第三方,需要自己搭建邮件系统)
通过发送邮件给一个不存在的邮箱地址,因为该用户邮箱不存在,所以发送将失败,
并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。
全网扫描(不得已使用的方法):
1、判断加速厂商
搜索域名判断出加速厂商,判断是国内厂商还是国外厂商
2、IP库筛地址段
3、配置范围扫描
先从IP段去扫描符合开放端口,再从IP去访问看看关键字,将符合结果进行保存!
fuckcdn工具使用:
设置set.ini文件内容,筛选条件
#set.ini是配置文件
ScanType=tcp #使用tcp扫描方式 若 支持syn扫描(2003机器) 可设置为 syn
ScanPort=80,8080 #扫描开放端口 (初步扫描) 支持多端口 但是验证时只取第一个, //TODO 待完善
WorkThread=5 #主要工作进程数目(IP扫描后, 同时进行几个ip结果文件的二次扫描)
FuckThread=100 #二次扫描验证线程数
FindUrl=http://example.com/ #扫描的网址
FindStr=NiNJA,52ML,kangml,sbwml #初步扫描后 进行二次判断 判断结果是否包含此关键字, 逗号分割, 逻辑或
在ip.txt中设置需要扫描的端口范围;