文章来源|MS08067红队手册
本文作者:Hong2x
0x00 CDN基本介绍
CDN的全称是Content Delivery Network, 即内容分发网络 。其基本思路是通过在网络各处放置节点服 务器所构成的在现有的互联网基础之上的—层智能虚拟网络 ,使内容传输的更快 、更稳定 。CDN系统能够实时地根据网络流量和各节点的连接 、负载状况以及到用户的距离和响应时间等综合信息将用户的请 求重新导向离用户最近的服务节点上。
这里以网宿CDN作为介绍:
工作原理:
1. 当源站购买及使用了对应的CDN产品后, 将源站中所有的静态资源( 包括HTML 、CSS 、JS、IMG) 等传输至对应的CDN资源服务器中;并把源站的IP与加速域名( CDN厂商提供)进行绑定存储在系统中。
2. 当用户进行请求时, 先进行域名解析; DNS请求包被发送⾄HTTP DNS,此时解析的域名应为CDN 加速域名,则HTTP请求会被发送到图示的调度中心。
3. 当调度中心接收到请求后, 根据用户的请求数据包数据, 智能分析与用户传输数据最快的CDN节点, 并把请求包转发至CDN节点中。
4. 当CDN节点收到请求包后, 根据资源服务器中已有的静态资源, 响应页面; 若有动态资源时 ,则通过回源节点与源站通信。
功能作用:
针对门户网站 、电商 、游戏 、资讯 、UGC社区等业务场景, 提供静态内容( 如网页 、图片 、小文件) 的加速分发能力 , 提升网页用户的访问体验。
●静态网页资源加速分发,如 :html 、css 、js 、img等。
●将网页资源更新缓存到全网, 减轻源站访问并发压力 。
●压缩优化网页大图, 完成秒级加载,进—步缩短页面响应时间。
问题剖析:
当该站点存在CDN网络加速的网络环境下, 我们没有办法成功的访问到源站;那么当我们实施攻击时, 这个流量往往只是走到了CDN节点中, 这就有可能存在—些问题:
1. 当存在文件上传漏洞时, 存放的文件位于CDN节点的资源服务器中, 还是位于源站(会有很多小伙伴, 打了很久最后传了个WebShell;在WebShell里面最后发现是个CDN节点)
2. 如果CDN节点或者CDN调度中心有对部分攻击流量进行过滤 、防护, 也就是存在云Waf的情况;那 么我们如何继续开展攻击呢?
所以, 如果我们能够绕过CDN寻找到网站的真实IP,通过IP 、端口 ( 形如:http://x.x.x.x:8080 ) 直接连接到源站, 问题就迎刃而解了~( 当然了,有CDN的情况下才 会需要寻找真实IP;所以,通常情况下,我们需要先判断是否存在CDN)
0x01 判断是否存在CDN
核心思路:多点Ping;根据原理可知 ,若使用国内不同地区的主机进行访问操作, 时间最短的CDN节点 理应不同 。( 福建的A同学应该访问到福建的CDN节点, 北京的B同学应该访问到北京的CDN节点)
方法一:ping/nslookup
查看不同时段不同地域下ping或者nslookup的结果, IP不一样 ,则说明可能存在CDN 。( 可以使⽤本机和个人云服务器进行比较)
方法二: 在线平台
Ping检测-站长工具:http://ping.chinaz.com/
17CE:https://www.17ce.com/
IPIP:https://tools.ipip.net/newping.php
ping.cn:https://www.ping.cn/ping
Cdnplanet https://www.cdnplanet.com/
国内在线CDN云观测:http://cdn.chinaz.com
国外在线 CDN planet: https://www.cdnplanet.com
脚本探测 xcdn:https://github.com/3xp10it/xcdn
0x02 绕过CDN找真实IP
网站根域或者子域找真实IP
—般情况下, CDN服务器是按流量收费的, 管理员可能给—些主要业务的网站部署CDN, 根域或者子域业务可能没有部署CDN, 这种情况下可以收集其子域名来尝试获取真实IP地址。
Email服务器找真实IP
在web服务器和email服务器在—起时可以通过email也获取其真实IP, 如果不属于同—台服务器时获取的 IP可能只是email服务器的地址 。常见发送邮件的功能有:注册用户 、找回密码等
域名历史解析录找真实IP
查询目标域名历史解析录可能会找到部署CDN 前的解析记录( 真实IP 地址) 可用以下几个网站查 。
https://domain.8aq.net
https://x.threatbook.cn
https://webiplookup.com
https://viewdns.info/iphistory
https://securitytrails.com/#search
https://toolbar.netcraft.com/site_report
FOFA查询网站标题找真实IP
利用 “FOFA 网络空安全搜索引擎”搜索网站源代码中的title 标签内容即可得到真实IP地址,title= ”XXXXX”.
注意:先去网站中到找到标题, 将标题复制过来在FOFA中查询。
Censys查询SSL证书找到真实IP
利用“Censys 网络空间搜索引擎”搜索网站的SSL证书及HASH,在https://crt.sh 上查找目标网站SSL证书的HASH,然后再用Censys搜索 HASH 即可得到真实IP 地址。
443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:XXXX.com
— 实验室旗下直播培训课程 —
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论