第21天：Web应用&CDN绕过&加速部署&漏洞回链&全网扫描&反向邮件&解析记录

#知识点：

1、信息收集-Web应用-CDN加速-如何识别

2、信息收集-Web应用-CDN加速-绕过方法

• 前置知识：
  • 1.传统访问：用户访问域名–>解析服务器IP–>访问目标主机
  • 2.普通CDN：用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机
  • 3.带WAF的CDN：用户访问域名–>CDN节点（WAF）–>真实IP–>访问目标主机
  • 安全影响：主要对于信息收集时端口扫描和IP探针的相关真实信息存在有误等
• 国内服务商：
  • 阿里云 百度云 七牛云
  • 又拍云 腾讯云 Ucloud
  • 360 网宿科技 ChinaCache
• 国外服务商
  • CloudFlare StackPath Fastly
  • Akamai CloudFront Edgecast
  • CDNetworks Google Cloud CDN
  • CacheFly Keycdn Udomain CDN77
• CDN配置：
  • 配置1：加速域名-需要启用加速的域名（子域名没配置）
  • 配置2：加速区域-需要启用加速的地区（国外地区没加速）
  • 配置3：加速类型-需要启用加速的资源
  • 配置4：其他SSL证书，DNS解析记录等（历史记录查询）
  • 详细操作，以腾讯云为例
    • 准备一台服务器搭建宝塔
    • 准备已经备案的域名
    • CDN配置
      • 腾讯云配置（我使用的是腾讯云）
        • 1、添加站点

          

        • 2、选择套餐

          

        • 3、选择加速区域

          

        • 4、配置CNAME

          

          

        • 因为我没有国内备案，所以设置的是中国境外，尝试使用全球ping：NodeCook | 全球 Ping，Traceroute，DNS，HTTP 以及更多
          • 结果显示

            

      • 阿里云配置

        • 

• 参考网站：
  • 超级Ping：网站测速|网站速度测试|网速测试|电信|联通|网通|全国|监控|CDN|PING|DNS 一起测试|17CE.COM
  • 超级Ping：多个地点Ping服务器,网站测速 - 站长工具
  • 接口查询：Get Site IP - Find IP Address and location from any URL
  • 接口查询：NOSEC|FOFA用户中心
  • 国外请求：全球 CDN 服务商查询_专业精准的IP库服务商_IPIP
  • 国外请求：阿里云网站运维检测平台
  • IP社区库：纯真网络，中国历史最悠久的IP地理位置库
  • CDN厂商查询：最新CDN数据查询 - 站长工具
  • CDN厂商查询：全球 CDN 服务商查询_专业精准的IP库服务商_IPIP
  • 全网扫描：GitHub - Tai7sy/fuckcdn: CDN真实IP扫描，易语言开发
  • 全网扫描：GitHub - boy-hack/w8fuckcdn: Get website IP address by scanning the entire net 通过扫描全网绕过CDN获取网站IP地址
  • 全网扫描：https://github.com/Pluto-123/Bypass_cdn
• 参考文章
  • 一网打尽！20种绕过CDN查找真实IP的实用方法
  • 渗透测试中最全的CDN绕过总结
• 常CDN绕过见方法：
  • 子域名，邮件系统，国外访问，证书查询，APP抓包，网络空间
  • 通过漏洞或泄露获取，扫全网，以量打量，第三方接口查询等
  • 1. 查询历史DNS记录：通过查询历史DNS记录，可以找到使用CDN前的IP地址。常用网站有DNSDB、微步在线、Netcraft、ViewDNS等。
  • 2. 查询子域名：一些网站可能只对主站或流量大的子站点使用CDN。通过查询子域名对应的IP地址，可以辅助找到网站的真实IP。常用工具包括微步在线、Dnsdb查询法、Google搜索等。
    • www.sp910.com配置了CDN

      

    • sp910.com未配置CDN

      

  • 3. 网络空间引擎搜索：利用网络空间搜索引擎（如Shodan、Fofa、ZoomEye）搜索特定关键词或特征，可以找到使用CDN的网站的真实IP地址。
  • 4. SSL证书：扫描互联网获取SSL证书，进而找到服务器的真实IP。Censys是一个用于搜索联网设备信息并扫描整个互联网的强大工具。
  • 5. HTTP标头：通过比较HTTP标头来查找原始服务器。例如，使用SecurityTrails平台搜索特定HTTP标头。
  • 6. 网站源代码：浏览网站源代码，寻找独特的代码片段或隐藏的IP地址信息。
  • 7. 国外主机解析域名：由于一些CDN服务在国外地区可能无法提供完整的保护，使用国外的主机直接访问目标网站可能会获取到真实IP地址。
  • 8. 遗留文件：如phpinfo页面泄露，可能会显示服务器的外网IP地址。

    

  • 9. 漏洞探针：利用网站上的漏洞（如SSRF漏洞）让VPS获取对方反向连接的IP地址。
    • 利用漏洞让对方真实服务器主动出网连接，判断来源IP即真实IP

      

    • 一些网站功能如加载图片等需要你提供图片链接，提供之后网站服务器(即对方服务器)会去访问，这里我将链接替换为我的服务器域名+端口，我在自己的服务器开启监听这个端口，对方服务器进行加载时会主动连接我这个域名端口，会出现访问记录和真实IP
    • 原理呢：其实是一个主动与被动的关系，A对网站域名进行了CDN加速，B在访问A时无法获取A的真实域名，但是反过来呢？我让A主动去访问B，那么就跳过了CDN直接使用A的真实IP
  • 10. 网站邮件订阅：查看RSS邮件订阅的邮件源码，通常包含服务器的真实IP地址。
  • 11. 全网扫描：使用Zmap、Masscan等工具对整个互联网进行扫描，针对扫描结果进行关键字查找，获取网站真实IP。
  • 12. 解码F5 LTM负载均衡器：当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码，可以获取到真实IP地址。
  • 13. 利用MX记录：如果网站在与web相同的服务器和IP上托管自己的邮件服务器，那么原始服务器IP将在MX记录中。
  • 14. 利用favicon.ico：查看网站的favicon.ico文件，通过其唯一的hash值进行识别，有时可以找到与网站相关的真实IP地址。
  • 15. 配置错误：检查CDN的配置细节，有时小小的配置错误就可能导致CDN防护被绕过。例如，CDN只配置了www域名，而直接访问非www域名可能获取到真实IP。
  • 16. 协议差异：如果站点同时支持http和https访问，而CDN只配置了https协议，那么访问http可能获取到真实IP。
  • 17. 利用网站功能：通过网站提供的某些功能（如邮箱注册、找回密码等），让网站主动暴露真实IP地址。
  • 18. 搜索引擎查询：利用搜索引擎的特定查询语法（如site:和inurl:），结合目标网站的信息，可能找到与网站相关的真实IP地址。
  • 19. 子域名挖掘机：输入域名即可基于字典挖掘子域名，通过查找子域名的IP地址来辅助找到网站的真实IP。
  • 20. IP库查询：使用IP库（如纯真数据库）来查询IP段，结合网站特征进行爆破，可能找到真实IP地址。
• 前置后置-CDN服务-识别加速&绑定访问
  • 超级Ping：http://17ce.com/
  • 超级Ping：https://ping.chinaz.com/
  • 拨测工具：阿里云网站运维检测平台
  • 各地ping（出现多个IP即启用CDN服务）
  • 后置：绑定HOST访问解析（参考基础课CDN安全影响）
    • hosts路径C:\Windows\System32\drivers\etc
    • 得到真实IP地址之后在host文件中进行绑定，以确保后续测试访问的是真实IP

      

• 某应用-CDN绕过-主动漏洞&遗留文件&综合查询
  • 配置加速选项中只加速主域名，导致其他子域名未加速（解析IP可能同IP也可能C段）
  • 1、国外接口访问（目前已失效）
    • 国外接口的访问实际上是在国内使用服务器中转（即国外请求被转发到国内服务器再去访问目标站点），因为请求最终还是在国内完成，ping 的结果是国内的 CDN 地址，而非真实的源站地址。这种情况下，国外的 ping 不是真正从国外直接到目标站点，而是间接通过国内服务器完成，所以达不到绕过 CDN 的目的。
  • 2、子域名解析IP
  • 3、综合查询（历史记录，证书记录等）
    • 综合接口查询：Get Site IP - Find IP Address and location from any URL

      

    • 查询到真实IP,用于参考，与其他方法对比来看，因为可能不正确        
    • 综合接口查询：NOSEC|FOFA用户中心
    • 使用网络空间&第三方功能集合查询判断
• 某应用-CDN绕过-主动漏洞&遗留文件&邮件系统
  • 1、漏洞如：SSRF RCE等
    • 利用漏洞让对方真实服务器主动出网连接，判断来源IP即真实IP
  • 2、遗留文件：phpinfo类似功能
    • 通过访问类似PHPINFO类似代码函数获取本地IP造成的地址泄漏
  • 3、邮箱系统：
    • 判断条件：发信人是当前域名邮件用户名
  • 让目标网站主动给你发：
    • 部署架设的邮件服务器如果向外部用户发送邮件(邮箱找回密码）的话，
    • 那么邮件头部的源码中会包含此邮件服务器的真实IP地址。
    • 墨者学院网站
      • 1、点击忘记密码，邮箱找回密码

        

      • 2 、收到墨者学院发送的找回邮箱密码邮件

        

      • 3、点击显示邮件原文

        

      • 4、

        

  • 常见的邮件触发点有：
    • 1、RSS订阅
    • 2、邮箱注册、激活处
    • 3、邮箱找回密码处
    • 4、产品更新的邮件推送
    • 5、某业务执行后发送的邮件通知
    • 6、员工邮箱、邮件管理平台等入口处的忘记密码
  • -你给未知邮箱发：（需要自己的邮件服务器不能第三方）
    • 通过发送邮件给一个不存在的邮箱地址，因为该用户邮箱不存在，所以发送将失败，并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。
      • 1、发送给不存在的用户邮件

        

      • 2、

        

      • 3、所以说不能有第三方，这里的第三方是指QQ邮箱系统

        

  • 通过邮箱查真实 IP 存在的干扰因素：
    • 邮箱服务器 IP 和目标域名服务器 IP 无直接关联
      • 邮箱服务器和目标网站可能使用的是不同的服务器，甚至可能完全不在同一个 C 段或运营商下。因此，即使查到了邮箱服务器的 IP，也不能直接用来推测目标域名的真实 IP。
    • 目标邮箱服务器邮件发送过程存在第三方代发或转发
      • 如果目标邮箱在发送邮件时通过第三方代发、转发（如使用企业级代发服务或第三方 SMTP 服务），实际发送邮件的 IP 地址会是代发方的服务器地址，而非目标域名的真实 IP，导致无法通过邮件头信息查到目标的真实 IP。
    • 攻击者使用的邮箱服务器可能存在问题
      • 若攻击者使用的邮箱服务器自身配置不当或受到限制，例如依赖第三方邮箱服务收发邮件（而非自建邮件系统），那么获取的邮件相关信息可能会受到额外干扰。
• 案例1：结合关键字固定IP段找真实IP
  • 1、判断加速厂商->目的：通过厂商，可以确定厂商常用的IP库，缩小IP范围
  • 2、IP库筛地址段->进一步缩小ip段范围
  • 3、通过工具，配置ip段范围，关键字，进行全网扫描
  • 厂商查询：
    • 最新CDN数据查询 - 站长工具

      

    • 全球 CDN 服务商查询_专业精准的IP库服务商_IPIP

      

  • 工具项目：
    • 纯真网络，中国历史最悠久的IP地理位置库

      

    • GitHub - Tai7sy/fuckcdn: CDN真实IP扫描，易语言开发
• 案例2：ico筛选资产+特征端口找真实IP
  • Fofa平台使用入门--利用网站小图标绕过CDN
  • 注意点：icon图标是否存在，网站是否搭建了一段时间，否则fofa等空间引擎可能没有搜录
  • 原理：找到网址icon图标->fofa等空间引擎->查到大量使用该图标的ip地址->通过查看这些ip地址的特征端口->找到真实IP
  • 核心点在于开放了一个特殊端口