信息打点-CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件
前置知识
传统访问:用户访问域名–>解析服务器IP–>访问目标主机
普通CDN:用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机
加入CDN后,真实ip被隐藏了,影响信息搜集
带WAF的CDN:用户访问域名–>CDN节点(WAF)–>真实服务器IP–>访问目标主机
CDN服务商
国内:
阿里云、百度云、七牛云、又拍云、腾讯云、Ucloud、360、网宿科技、ChinaCache
国外:
CloudFlare、StackPath、Fastly、Akamai、CloudFront、Edgecast、CDNetworks、Google Cloud CDN、CacheFly、Keycdn、Udomain、CDN77
CDN配置
加速域名:需要启用加速的域名
利用子域名获取真实IP(与加速配置有关系)
- 如果配置:www.xiaodi8.com加速,bbs.xiaodi8.com和xiaodi8.com不加速,这两个域名都在同一个网段或ip下,可以利用查找其他子域名bbs.xiaodi8.com和xiaodi8.com的ip地址推断出www.xiaodi8.com的IP地址
- 如果配置*.xiaodi8.com加速,就不能推断出出真实地址
加速区域:需要启用加速的地区-按照用户群体选择
国外访问获取真实ip
- 加速区域没有配置全球加速时,可以通过国外的ip进行访问,以获取真实地址
加速类型:需要启用加速的资源
CDN判定-识别
超级ping
超级Ping:http://www.17ce.com/
超级Ping:https://ping.chinaz.com/
看不同地区的响应ip是否一致,如果出现了多个ip说明部署了CDN
备案号
还可以查看网站底部备案号进一步猜测真实ip
CDN绕过
https://mp.weixin.qq.com/s/zxEH-HMqKukmq7qXfrdnQQ
常见方法:子域名,邮件系统,国外访问,证书查询,备案信息,APP抓包,网络空间,通过漏洞或泄露获取,扫全网,以量打量,第三方接口查询等
主动漏洞
如SSRF、RCE漏洞:利用漏洞让对方真实服务器主动出网连接,判断来源IP即真实IP。网站主动向自己服务器请求加载一些东西,然后泄露地址–>让它主动出来找你
遗留文件
源代码内含有一些遗留调试文件,如:phpinfo.php,访问可能展示一些服务器信息,以及ip地址(可能为内网ip无用)
邮件系统:
邮件系统一般不设置CDN,有些不支持
对方主动发邮件—>类似于主动漏洞:
常见邮件触发点:1.RSS订阅;2.邮箱注册,激活处;3.邮箱找回密码处;4.产品更新的邮件推送;5.某业务执行后发送的邮件通知;6.员工邮箱、邮件管理平台等入口处的忘记密码
判断条件:发信人是当前域名邮件用户名
如:
墨者学院发的邮件来自为mail.mozhe.cn,是它自己的域名,并且在邮箱中查看邮件原文显示了域名和真实的ip地址
FOFA的邮件与其本身网站无关,不是搭建在他的域名上的,是别人的(126邮箱),与中转、代发一样,所以找不到源ip
主动发邮件给未知服务器
注:需要用自己搭建的邮件服务器发,不能使用QQ等第三方服务器,否则返回的为第三方服务器的地址
通过发送邮件给一个不存在的邮箱地址,因为该用户邮箱不存在,所以将发送失败,并且还会收到一个包含发送该电子邮件给你的服务器的真实ip地址。如
noreply@mail.mozhe.cn存在,发送邮件给不存在的abc@mail.mozhe.cn,会返回其ip真实地址
接口查询(做参考)
查询接口:
- 国外网站接口查询(针对国内):
https://get-site-ip.com - FOFA云资产原始ip查询(针对国外):
https://fofa.info/extensions/source
全网扫描
1.判断加速厂商:理论上国内域名用国内加速厂商,国外用国外的
厂商查询:
https://tools.ipip.net/cdn.php2.IP库筛地址段(免费版功能有限)
https://cz88.net/3.配置范围扫描
工具:fuckcdn(基于ip访问,关键字筛选-如果网站不支持ip访问就会失败)
运行逻辑:先从IP段去扫描符合开放端口,再从IP去访问查找关键字,将符合结果进行保存
工具:bypass_cdn(基于域名、子域名访问)