利用源服务器IP地址绕过Cloudflare WAF

  • A+
所属分类:安全文章

利用源服务器IP地址绕过Cloudflare WAF

Cloudflare是一个应用广泛的web应用防火墙(WAF)的提供商。如果能在一秒内绕过所有防护措施,让WAF毫无用处,会怎么样呢?这篇文章会教你利用源服务器的IP地址绕过Cloudflare WAF。注意,以下方法可能适用于绕过任何类型的WAF。


简介

Cloudflare WAF是目前最流行的web应用防火墙之一,防护着超过1600万个网络资产。一年前Cloudflare发布了一个快速DNS resolver,并很快成为它们最受欢迎的产品。WAF作为一个反向代理服务器,不仅可以抗DDoS攻击,还可以在检测到攻击时触发告警。付费版本的用户还可以选择开启防护SQL注入、XSS、CSRF等常见漏洞攻击,但必须要手动启动。免费版本不支持这个功能。

虽然该WAF很擅长于阻挡基础的攻击载荷,但已经有很多绕过Cloudflare WAF的方法,而且每天都会出现新的,所以持续测试Cloudflare防火墙的安全性十分重要。就在我写这篇文章的时候:

利用源服务器IP地址绕过Cloudflare WAF

利用源服务器IP地址绕过Cloudflare WAF


很明显绕过防火墙是一件有意思的事情。基本上你有三种选择:

1.自定义攻击载荷来绕过防火墙规则。这可以提高你的防火墙绕过技术,但这是一个沉闷且耗时的过程,对于bug赏金猎人来说这是划不来的,因为时间就是金钱!如果你选择这种方法,最好尝试些PayloadsAllTheThings上列出的载荷,或者在百度上搜索下。


2.以适当的方式更改请求来破坏服务器。和第一种选择一样,这会很耗时,还要有耐心和良好的fuzzing技术。


3.通过查找Web服务器的原始IP来绕过Cloudflare。这也许是最简单的方法,不需要专业技术,作为侦察阶段的一部分也不会浪费时间。一旦你掌握了这个方法,你就再也不用担心WAF或DDoS保护(速率限制)。

本文中,我将重点介绍最后一种方法,以及如何根据获得的提示来实现它。

提示:Cloudflare是一个必须由人设置的工具,通常是研发或系统管理员。通过使用下文的方式导致配置错误产生的有效攻击,Cloudflare不会负责。


首先,侦察!

开始正常的侦察过程,获得尽可能多的IP地址(主机、nslookup域名解析服务器、whois服务器、BGP路由),然后检查哪些服务器有可用的web服务(netcat、nmap、masscan等工具)。一旦你有了web服务器的IP地址列表,下一步就是检查这些服务器是否配置了保护域作为虚拟主机。如果没有,你将会获得默认服务器页面或默认网站配置,这样你就找到了入口!使用Burp:

这是我想要的子域名,但是IP地址不正确:

利用源服务器IP地址绕过Cloudflare WAF


这是错误的子域名,但有合适的IP地址:

利用源服务器IP地址绕过Cloudflare WAF


这是我想要的子域名,而且有合适的IP地址——完美!

利用源服务器IP地址绕过Cloudflare WAF

一些可以自动侦察的工具:

https://pentest-tools.com/information-gathering/find-virtual-hostshttps://github.com/jobertabma/virtual-host-discoveryhttps://github.com/gwen001/vhost-brute


Censys

如果你的攻击目标使用了SSL证书(使用SSL是必须的),而且是在Censys数据库已注册的(我强烈建议去买一个)。在Censys选择输入时选择“证书”,提供你目标服务器的域名,点击回车。

你会看到适用于你目标的证书列表:

利用源服务器IP地址绕过Cloudflare WAF


点击每个结果显示详细信息,在最右侧的搜索菜单中选择“IPv4主机”:

利用源服务器IP地址绕过Cloudflare WAF


可以看到使用该证书的服务器IP地址:

利用源服务器IP地址绕过Cloudflare WAF


从这里开始,获取所有你可以获取的IP,然后回到上一章,尝试通过所有IP访问你的目标。

邮件头

下一步,检查你的目标服务器发出的邮件头:订阅新闻,创建用户,使用“忘记密码”功能,订购……尽你所能从测试网站获得一封邮件(提醒一下可以使用Burp)。

得到邮件后,检查邮件源文件,特别是邮件头。记录可以找到的所有可能属于一个服务器的IP和子域名。再一次,尝试通过这些访问你的目标。

我在邮件头Return-Path里找到了一些信息:

利用源服务器IP地址绕过Cloudflare WAF


用Curl测试:

利用源服务器IP地址绕过Cloudflare WAF


另一个技巧是将邮件从你自己的邮箱发送到不存在的电子邮件地址@yourtarget.com。如果发送失败,你应该会收到一个通知。

XML-RPC广播

XML-RPC(远程过程调用)是一个在WordPress博客平台很有名的工具——允许管理员使用XML请求远程管理其博客。ping包是ping命令的响应包。A发送ping请求到B,B回复A收到了请求,即回复一个ping包。

访问https://www.target.com/xmlrpc.php可以轻松知道目标服务器是否启用了XML-RPC广播,启用的情况下会返回信息:XML-RPC server accepts POST requests only。

根据WordPress XML-RPC Pingback API文档,该功能有sourceUri和targetUri两个参数。在Burp Suite中可以看到:

利用源服务器IP地址绕过Cloudflare WAF


以前的发现

如果你用上述方法没有找到原始IP,或者之前的目标网站设置了保护措施,记住,有时候你最好的朋友就是目标自己,它会给你想要的信息。

你需要的就是让目标web服务器发送请求到你的服务器。利用SSRF、XXE、XSS等其他类型的漏洞,注入包含你服务器地址的载荷并查看日志。如果命中再检查虚拟主机。

甚至是像重定向或HTML/CSS注入等这些最简单的漏洞,如果被应用web服务器解析就会派上用场。


工具

现在我们已经知道怎样手动寻找IP地址,下面是一些工具可以帮助你节省宝贵的时间。你可以在探测Cloudflare保护机制时用这些工具进行侦察。

记住,没有100%管用的方法,因为攻击目标的不同,适用于某个的不一定适用于另一个。我的建议:都试试。

Cloudsnare.pycensys证书(需要密钥)
HatCloudcrimeflarepinfo.iohttps://github.com/HatBashBR/HatCloud
CrimeFlarecrimeflareipinfo.iohttps://github.com/vincentcox/bypass-firewalls-by-DNS-history
bypass-firewalls-by-DNS-historysecuritytrailscrimeflarehttps://github.com/vincentcox/bypass-firewalls-by-DNS-history
CloudFaildnsdumpstercrimeflare,子域名暴力攻击https://github.com/m0rtem/CloudFail
CloudFlair:需要censys密钥https://github.com/christophetd/CloudFlair
CloudIPnslookup一些子域名(ftpcPanelmaildirectdirect-connectwebmailportalhttps://github.com/Top-Hat-Sec/thsosrtl/blob/master/CloudIP/cloudip.sh


利用源服务器IP地址绕过Cloudflare WAF


利用源服务器IP地址绕过Cloudflare WAF


DNS资源

你也许明白,最重要的事是获取尽可能多的IP地址——不论方法,不论地点。DNS服务器当然是主要关注点,特别是其历史信息会一直存在于网络中。下面是一些很好用的DNS资源:

Netcraft::https://toolbar.netcraft.com/site_report?url=dns-trails:https://securitytrails.com/dns-trailsDNSQueries:https://www.dnsqueries.com/en/domain_check.phpDNSdumpster:https://dnsdumpster.com/Shodan:https://www.shodan.io/search?query=以往关于Hackerone的案例报告:https://hackerone.com/reports/255978https://hackerone.com/reports/360825https://hackerone.com/reports/315838


总结

正如我们在安全产业常说的:一根链条的坚固程度取决于它最薄弱的一环。无论你花多少时间去配置Cloudflare,如果它可以被绕过,如果你的web应用可以直接通过服务器IP连接。那么Cloudflare的所有保护机制都将被绕过。





往期精彩


登陆页面的检测及渗透

渗透实战篇(一)

渗透测试信息收集的方法

常见Web中间件漏洞利用及修复方法

内网渗透 | 流量转发场景测试

Waf从入门到Bypass

实战渗透-看我如何拿下学校的大屏幕

技术篇:bulldog水平垂直越权+命令执行+提权

渗透工具实战技巧大合集 | 先收藏点赞再转发一气呵成


利用源服务器IP地址绕过Cloudflare WAF

感兴趣的可以点个关注!!!

利用源服务器IP地址绕过Cloudflare WAF

关注「安全先师」
把握前沿安全脉搏



本文始发于微信公众号(安全先师):利用源服务器IP地址绕过Cloudflare WAF

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: