绕过CDN方法
什么是CDN加速?
CDN的全称是 Content Delivery Network,即内容分发网络,这个概念是1998年提出的。当时美国麻省理工大学(MT)的一批研究生通过分析当时 Internet E的网络状况,提出了一套能够实现用户就近访问的解决方案,最终设计并实现了其独有的系统。
CDN有什么作用?
CDN基本思路就是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。CDN核心的就是使用户可就近访问网络,取得所需内容,解决网络拥挤的状况,明显提高用户访问网站的响应速度或者用户下载速度。
对用户来说,如果一个网站开启了CDN,用户访问速度或者下载速度相比之前会更快。一般来说,网站开启CDN之后,可以提升用户体验。
CDN对网站有什么好处?
首先,开启CDN后的网站,会根据用户所在地的不同访问CDN的节点服务器,并不直接访问源服务器,这样可以减少网站服务器宽带资源,降低服务器压力。这也就是大家都在ping百度,但是不同地区得到的反馈ip不一样的原因。
其次,由于CDN节点的阻挡防护,可以更好的保护员服务器的安全。具体来说,CDN其实是充当了一个替身的角色,无论服务器是渗透还是DD0S攻击,攻击的目标都将是CDN节点,这样一来便间接的保护了网站本身。
0x01 判断ip是否为网站真实ip
1. Nslookup:
Win下使用nslookup命令进行查询,若返回域名解析结果为多个ip,多半使用了CDN,是不真实的ip。
2. 多地ping查询
使用不同区域ping,查看ping的ip结果是否唯一。若不唯一,则目标网站可能存在CDN。
网站有:
https://asm.ca.com/en/ping.php/ http://ping.chinaz.com/ https://ping.aizhan.com/
3. 使用工具直接查询
参见如下网站:
http://www.cdnplanet.com/tools/cdnfinder/ https://www.ipip.net/ip.html
0x02 绕过CDN查找真实ip
方法整理如下:
1. 子域名入手
某些企业业务线众多,有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。查询子域名的方法就很多了:subDomainsBrute、Sublist3r、Google hack等。
还有某些网站可以进行查询。例如:
https://dnsdb.io/zh-cn/
2. 利用网站漏洞
如果目标站点存在漏洞,这就没办法避免了。例如phpinfo敏感信息泄露、Apache status和Jboss status敏感信息泄露、网页源代码泄露、svn信息泄露信、github信息泄露等。
若存在web漏洞,服务器主动与我们发起请求连接,我们也能获取目标站点真实ip。例如xss、ssrf、命令执行反弹shell等。
3. 历史DNS记录
查询ip与域名绑定历史记录,可能会发现使用CDN之前的目标ip。查询网站有:
https://dnsdb.io/zh-cn/ https://x.threatbook.cn/ http://toolbar.netcraft.com/site_report?url= http://viewdns.info/ http://www.17ce.com/ https://community.riskiq.com/ http://www.crimeflare.com/cfssl.html
4. CDN本身入手
若从CDN本身入手,比如利用社工等,得到控制面板的账号密码,那真实ip就很轻易能获取到了。
5. Mx记录或邮件
很多站点都有发送邮件sendmail的功能,如Rss邮件订阅等。而且一般的邮件系统很多都是在内部,没有经过CDN的解析。可在邮件源码里面就会包含服务器的真实 IP。
6. 国外请求
通过国外得一些冷门得DNS或IP去请求目标,很多时候国内得CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。 通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP查询网站:
https://asm.ca.com/en/ping.php
7. 扫描探测
通过信息收集,缩小扫描范围,确定一个相对小的IP和端口范围(中国?AS号?B段?等)
通过http指纹特征和keyword等做综合判断。可使用工具如下:
https://github.com/zmap/zgrab/ http://www.ipdeny.com/ipblocks/
zgrab 是基于zmap无状态扫描的应用层扫描器,可以自定义数据包,以及ip、domain之间的关联。可用于快速指纹识别**等场景。
可参考这篇文章:利用Zgrab绕CDN找真实IP - Levy Hsu
8. Zmap大法?
据说扫描全网,只要44分钟?
可参考这篇文章:简单获取CDN背后网站的真实IP - 安全客 - 有思想的安全新媒体
9. 网络空间引擎搜索法
zoomeye、fofa、shodan
通过这些公开的安全搜索引擎爬取得历史快照,主要得一些特征总结如下:
特有的http头部(如server类型、版本、cookie等信息)、
特定keyword(如title、css、js、url等)、
特定的IP段搜索(如fofa支持C段搜索),
有些时候爬取的时候不一定含有上面那些特征,但是我们仍然需要仔细排查。
10. 查询Https证书
此方法来自于去年CplusHua表哥在Freebuf公开课《HTTP盲攻击的几种思路》中分享的:
查询网站:
https://censys.io/
这个网址会将互联网所有的ip进行扫面和连接,以及证书探测。若目标站点有https证书,并且默认虚拟主机配了https证书,我们就可以找所有目标站点是该https证书的站点。
443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:www.xxx.com
11. F5 LTM 负载均衡解码获取真实内网ip
之前看了这篇文章:透过F5获取服务器真实内网IP - ThreatHunter
我就在想,假如目标站点有CDN,是否就跟F5做负载均衡冲突了?是否需要找到目标站点 真实ip,才能通过F5获取目标真实内网ip?所以以为可能该方法不能用来绕过CDN获取真实IP。
今天咨询了下hblf表哥:他说应该不会冲突,之前碰到过案例:某企业先在内网出口使用F5做ISP的链路负载均衡,然后再用CDN加速。这样的话,客户端还是可以看到F5埋的那个cookie。而且经过CDN,埋的cookie不会被修改或者删除,所以客户端还是可以看到。
通过解码就可以得到目标服务器真实内网ip。具体方法和原理参见hblf表哥的这篇文章。
所以就把该方法也总结在这儿。
0x03 后记
就当是个瞎总结吧,蛮写一下,希望对你有帮助。PS:如果表哥们如果还有其他方法,求学习。
最后,谢谢hblf表哥、面具表哥的指导。