答面试官问 | 渗透中,怎么绕过CDN等云防护获取真实地址?

admin 2024年8月2日08:25:29评论11 views字数 1575阅读5分15秒阅读模式

上周群里讨论的问题,我整理了一下写出来。

最近没怎么更新技术文章,一是最近我也没什么活整(在学习);二是最近GHvv,每天在地上都能捡到非常新鲜的瓜的诱惑力实在太大......反正技术文章是会更新的,瓜也是会吃的,本公众号是不会转型,各位读者不用担心。如果想吃新鲜瓜可以进交流群,看到瓜我都会顺手扔群里。

这个系列【答面试官问】看心情更新,主要看有没有人问我很离谱的问题......问了我又感兴趣,八成就会写。

. . . * . * ☄️. * . * . 🔆 .* . * . 🧶 * . * . . .

0 太长不看版

太长不看的版本是:证书测绘、历史解析、多地Ping、诱导邮件服务器回复、拼流量。如果需要详细解释,请往下看。

0.1 思考过程

由于是答面试官问,这个过程必须要体现一下~

云防护最根本的目的是隐藏:隐藏目标的真实IP,迫使攻击者在访问目标前必须经过云,然后由此达到各种目的如WAF、CDN等。

在这个过程中,真正的目标几乎不会进行额外配置,只是解析被改成了云的地址,也就是说,目标还在那个位置,只是我们不知道。

要绕过这些防护,我们有三个主要可行的思路:一是查询目标的历史痕迹以找到其真实地址;二是查找其边缘且可能与目标同一网段的资产;三是迫使目标反向越过云来连接。

1 查询历史解析

实际上就是查询DNS历史解析,假设目标在使用云服务之后未换过IP,则历史解析A记录指向的即为其真实IP。

可以在一些在线网站查询其历史DNS解析,如: https://site.ip138.com/

2 多地点Ping(国外Ping)

多数CDN有加速网站访问的功能(也就是区域加速,如为国内用户提供访问境外网站的加速),所以会分地域提供服务。这就造成了一些CDN在某些地区会失效的情况。我们可以利用这一点从多个地点访问网站(主要是分国内外)以获取其可能存在的无CDN服务区域,进而获取真实IP。

可以使用的在线多地点ping(拨测)工具有:https://boce.aliyun.com/detect/http

3 边缘无CDN资产

我们需要知道的一点是:CDN是较为昂贵的服务。一个企业几乎无法为它的每个资产都配备CDN服务,而它们的资产又通常倾向于放在同一个地方。

所以如果我们寻找到一个边缘资产的真实IP,就有可能在同C段找到目标的真实IP。而对于使用云服务器的厂商,边缘资产也有可能与目标在同一个服务器上。寻找边缘资产的方法就不赘述,左不过是子域名其它备案这几套。

4 邮服回复

此方法与下文中的RSS订阅同属“迫使服务器反向越过云连接”。如果目标网站存在邮服,可以向其中一个明显不存在的目标发送邮件如adshoiadadkcklsachlasc@[目标邮服]。大多数情况下这会使服务器主动发送一封邮件告诉你这个邮箱并不存在,此时我们访问邮件原文,便有可能看到邮服的IP地址:

答面试官问 | 渗透中,怎么绕过CDN等云防护获取真实地址?

还有其他促使对方邮服发送邮件的办法,如RSS订阅、注册账号等。

5 证书测绘

利用测绘引擎的一大功能证书查询。如果目标网站存在SSL证书,则可以导出其hash然后使用测绘引擎查找全网其他使用此证书的网站。

由于SSL证书的特性,被找到的网站要么是目标本身,要么是与目标资产相关的其他资产。自然,在条件允许下也可以利用其它特征,如ico Hash。


以下是比较歪的两个,酌情回答。

0.6 以量打量

理论上也是一种解法,推荐面试官还不服的时候告诉他^ ^。

由于CDN通常会有规定的流量额度,如有必要可以将其流量额度耗竭再访问即可获取其真实IP。

0.7 全网扫描

比上文稍微靠谱但还是很离谱的解法。

查询CDN服务商->扫描此服务商的网段以查询网站的原始IP。需要目标使用云服务器且CDN与服务器为同一厂商。

具体请参考:https://github.com/Tai7sy/fuckcdn

原文始发于微信公众号(白帽子社区团队):答面试官问 | 渗透中,怎么绕过CDN等云防护获取真实地址?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月2日08:25:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   答面试官问 | 渗透中,怎么绕过CDN等云防护获取真实地址?https://cn-sec.com/archives/3024851.html

发表评论

匿名网友 填写信息