如何绕过CDN找到真实IP

2018-12-11 本文已影响14人 seeiy

0x00

首先，我这里写的方法实测大多没什么用，在网上也没有找到有效的方法，网上的这么多都是千篇一律，没有实质用处，不知道他们实际用过没有，真是天下文章一大抄。。。

有可能那些方法以前有效吧，但是现在可能失效了。

我之所以写是因为遇到一个小朋友给了我一个站点问我怎么找真实IP，然后就尝试了一下，这两天尝试了一些方法，看了一些资料，最后无果。

这里写点有可能有效的方法：:,)
1.感觉实际中最有效的方法就是让你的目标站主动“联系”你，比如你订阅他们的网站，RSS之类的，或者让目标站给你发邮件，比如验证注册邮件之类的，但是如果目标站使用的是别的邮箱接口就GG，不过买得起CDN加速了一般也是自己搭建的公司邮件服务器，如果他们的邮件服服务跟WEB服务在一个服务器上，这时候只要查看邮件服务器的IP就好了（查看发的邮件的源代码就可以看到了好像），但是很可能邮件服务器IP跟web服务器只是在一个c段上，这时候就进行C段扫描吧，然后找开放80端口的ip进行一个一个验证（C段扫描就可以用msscan或者提供在线C段扫描的网站），当不是在一个C段时，可能会有点绝望了吧:,(

这里还有一个觉得可能有效的方法：

2.利用fofa这个网络空间搜索引擎。首先F12查看目标网站的源代码，找到站点的title，然后结合fofa提供的语法（title="title"）进行查找，很多网站的title最后会有自己站点的域名，这时候可能就能利用fofa找到真实的IP了（fofa的搜索结果可以看到站点的IP）。说一句，我在这次之战中没有成功，找到的IP去过去是另一个站点2333

刚去了测试百度发现2方法也是不行的，有一个中国的IP，其他的好像都是美国的IP，跟过去发现有几个美国IP过去是非法网站，中国IP的是百度，有的美国IP也是百度，有点迷。。。

说在这里：
有的站点买了CDN不只是为了用户访问可以快点，也是有为了防止别人攻击的因素在这方面，如果网上有人给出了好的找到真实IP的方法，那防止攻击不就起不到作用了，网上目前没有人给出好的方法。也有可能是真的没有好方法。

0x01 辨别是否目标是否使用了CDN

1.最有效的方法，直接使用支持多地ping的在线的网站检测，如果ping的目标站的IP都是不一样的就是使用了CDN。

https://www.17ce.com/

2.提供辨别是否使用CDN的在线的检测网站：

https://www.cdnplanet.com/tools/cdnfinder/

这个站还是比较准的。

3.其他的什么nslookup之类的就不推荐了，感觉现在没什么效果了。这里推荐直接用第一种方法就好了，从CDN的原理想就知道多地ping最靠谱。

0x02 怎么绕过找到真实的IP：

0.利用网站的漏洞：

原理也是让网站主动联系我们，比如网站如果有XSS，可以XSS盲打，命令执行反弹shell，SSRF等。
但是如果有这种漏洞了emmm“我可以开门进去可是还要破窗而入”的这种感觉。

1.利用DOS打光目标站的CDN流量 =。= 不现实，这样攻击就会暴露，破坏性也太大了。不推荐。

2.查询DNS与IP的历史解析记录。

3.利用子域名

毕竟CDN的流量也不便宜，有的站点可能就只是给主站弄了CDN，子域名并没有CDN，这时候可以找到子域名的IP，如果主站跟子域名在一个C段就可以进行C段扫描找到主站的真实IP，也是要进行繁琐的“筛选”。

4.使用国外的主机解析域名

栗子：

nslooup www.xxx.com 8.8.8.8

这里使用国外冷门的DNS服务器（8.8.8.8是谷歌的DNS解析服务器），实测没用！这个方法以前厂商还没发展起来可能有用，现在的CDN厂商已经发展的不错了，比较全面了。

5.目标站点敏感文件泄露

很小的可能目标站点存在一些泄露的敏感文件中会有真实的IP，比如Git泄露的一些东西，还有就是phpinfo之类的探针。

6.从CDN厂商入手

无论是用社工还是其他手段，反正是拿到了目标网站管理员在CDN的账号了，此时就可以自己在CDN的配置
中找到网站的真实IP了。
这个看乌云以前的帖子有时候会看到这种实战案例，以前工作人员没有这种意识，现在上岗培训，但是也不排除可以成功社工，看你的社工能力了。

7.在线检测网站

https://www.cdnplanet.com/tools/cdnfinder/
https://toolbar.netcraft.com/site_report
https://dnsdb.io/zh-cn/

实测感觉效果不好！

0x03 最后

:!)