信息收集--绕过CDN寻找真实IP
0x01 验证目标是否存在CDN
1、使用世界各地ping服务,如果地址不唯一,多半是用了CDN
下例是我常使用的在线 ping 服务网址:
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
2、nslookup
使用 nslookup 查询域名,如果有多个IP地址,多半就是使用了CDN
nslookup sina.com //查询 sina.com 的IP地址
3、IP反查判断
如果反查IP,发现此网站有太多不同域名,那麽这个IP多半不是真实IP
IP反查工具:
http://s.tool.chinaz.com/same
https://x.threatbook.cn/
#网上还有其他很多在线IP反查工具
0x02 绕过CDN发现目标真实IP
1、查询历史DNS记录
常常服务器在解析到 CDN 服务前,会解析真实 ip,如果历史未删除,就可能找到!
在线查询平台:
https://securitytrails.com/ //SecurityTrails平台
https://dnsdb.io/zh-cn/ //DNS查询
https://x.threatbook.cn/ //微步在线
http://toolbar.netcraft.com/site_report?url= //在线域名信息查询
http://viewdns.info/ //DNS、IP等查询
https://tools.ipip.net/cdn.php //CDN查询IP
http://www.17ce.com/
http://www.ip138.com/
2、查询子域名
CDN是比较昂贵的服务,许多小型企业为了节省经费都只会给自己的主域名使用CDN,子域名往往就会是真实的IP地址!
搜集子域名后尝试解析其IP,那么得到的IP地址有可能是真实IP。
在线工具:
https://x.threatbook.cn/ //微步在线
https://dnsdb.io/zh-cn/ //DNSDB
谷歌搜索引擎:
site:sina.com -www //这样可以查询sina除了 www 以外的子域名
子域名扫描器:
>> 子域名挖掘机
>> subdomainbrute:https://github.com/lijiejie/subDomainsBrute
3、网络空间引擎搜索
通过这种物联网的搜索引擎,只需要输入:title:“网站的title关键词” 或者 body:“网站的body特征” 就可以找出其收录的有这些关键字的IP域名,很多时候可以获取网站的真实IP地址。
常见的网络空间搜索引擎:
shodan:https://www.shodan.io/
fofa:https://fofa.so/
钟馗之眼:https://www.zoomeye.org/
4、使用国外服务器解析域名
一些CDN厂商没有做针对国外的线路,此时我们使用国外的服务器直接访问就可以获取目标的真实IP(现实情况中比较少见!)
5、利用网站漏洞查询
1、 如果目标站点存在漏洞,例如:phpinfo敏感信息泄露、svn信息泄露、github信息泄露、网页源码泄露、 Apache status和Jboss status信息泄露等等
2、使用社会工程学拿到目标网站管理员的CDN帐号,在其配置中找到真实的IP地址
3、XSS攻击、命令执行反弹shell、SQLi、CSRF等等
7、SSL证书探测(HTTPS证书)
我们可以利用空间引擎进行 SSL 证书探测
1、Censys是一款用以搜索联网设备信息的新型搜索引擎,安全专家可以使用它来评估他们实现方案的安全性,而黑客则可以使用它作为前期侦查攻击目标、收集目标信息的强大利器。Censys搜索引擎能够扫描整个互联网,Censys每天都会扫描IPv4地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。
而攻击者唯一需要做的就是把上面用文字描述的搜索词翻译成实际的搜索查询参数。
www.xxx.com证书的搜索查询参数为:parsed.names:www.xxx.com
只显示有效证书的查询参数为:tags.raw:trusted
攻击者可以在Censys上实现多个参数的组合,这可以通过使用简单的布尔逻辑来完成。
组合后的搜索参数为:parsed.names: www.xxx.com and tags.raw: trusted2、Censys将向你显示符合上述搜索条件的所有标准证书,以上这些证书是在扫描中找到的。
要逐个查看这些搜索结果,攻击者可以通过单击右侧的“Explore”,打开包含多个工具的下拉菜单。What’s using this certificate? > IPv4 Hosts3、此时,攻击者将看到一个使用特定证书的IPv4主机列表,而真实原始 IP就藏在其中。
4、你可以通过导航到端口443上的IP来验证,看它是否重定向到xyz123boot.com?或它是否直接在IP上显示网站?
使用给定的SSL证书
如果你是执法部门的人员,想要找出一个隐藏在onion下的儿童色情网站。做好的办法,就是找到其原始IP,这样你就可以追踪到其托管的服务器,甚至查到背后的运营商以及金融线索。
隐藏服务具有SSL证书,要查找它使用的IPv4主机,只需将"SHA1 fingerprint"(签名证书的sha1值)粘贴到Censys IPv4主机搜索中,即可找到证书,使用此方法可以轻松找到配置错误的Web服务器。
8、利用老域名
在使用新域名的时候,厂商常常将CDN部署到新的域名上面,而老域名由于没有过期,可能就没有使用CDN服务,所以我们就可以直接获取服务器的真实IP地址。
例如:
旧域名 | 新域名 |
---|---|
杨幂.com | 杨幂.org |
域名更新时,可能老域名与新域名同时能够解析到真实的服务器,但是没有部署CDN。
这时通过搜集域名备案信息的邮箱去反查,可能会有意外收获。
9、暴力匹配
找到目标服务器的IP段后,我们可以直接使用masscan扫描HTTP的banner,然后匹配到目标域名相同的banner。
10、网站邮箱头信息(MX记录或邮件)
在邮箱注册、邮箱找回密码、RSS邮件订阅等功能场景,通过网站给自己发送个邮件,从而让目标主动暴露他们的真实IP地址。这是就可以查看邮件头信息,获取到网站的真实IP地址。( 如RSS邮件订阅,很多网站都自带 sendmail,会发邮件给我们,此时查看邮件源码里面就会包含服务器的真实 IP 了)
11、通过扫描工具(Zmap、masscan)扫描全网,对扫描结果进行关键字的查找,以获取目标网站的真实IP地址。
# ZMap号称是最快的互联网扫描工具,能够在45分钟扫遍全网
https://github.com/zmap/zmap
# masscan号称是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网
https://github.com/robertdavidgraham/masscan
12、扫描探测
通过信息收集,缩小扫描范围,确定一个相对小的IP和端口范围(中国?AS号?B段?等)
通过http指纹特征和keyword等做综合判断。可使用工具如下:
https://github.com/zmap/zgrab/
http://www.ipdeny.com/ipblocks/
zgrab 是基于zmap无状态扫描的应用层扫描器,可以自定义数据包,以及ip、domain之间的关联。可用于快速指纹识别爆破等场景。
13、F5 LTM 负载均衡解码获取真实内网IP
当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取,例如:Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。
转载请注明链接!
链接地址:https://blog.csdn.net/weixin_45126664/article/details/107622861
本文地址:https://blog.csdn.net/weixin_45126664/article/details/107622861