0x01 驗證是否存在CDN

方法1：

很簡單，使用各種多地 ping 的服務(wù)，查看對應(yīng) IP 地址是否唯一，如果不唯一多半是使用了CDN， 多地 Ping 網(wǎng)站有：
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.#/

方法2：

使用 nslookup 進(jìn)行檢測，原理同上，如果返回域名解析對應(yīng)多個 IP 地址多半是使用了 CDN。

有 CDN 的示例：
    
    www.163.com
    服務(wù)器: public1.114dns.com
    Address: 114.114.114.114

    非權(quán)威應(yīng)答:
    名稱: 163.xdwscache.ourglb0.com
    Addresses: 58.223.164.86

    125.75.32.252
    Aliases: www.163.com

    www.163.com.lxdns.com

 
無 CDN 的示例：

     xiaix.me
    服務(wù)器: public1.114dns.com
    Address: 114.114.114.114

    非權(quán)威應(yīng)答:
    名稱: xiaix.me
    Address: 192.3.168.172

 
0x02 繞過 CDN 查找網(wǎng)站真實 IP

方法1:查詢歷史DNS記錄

 1）查看 IP 與 域名綁定的歷史記錄，可能會存在使用 CDN 前的記錄，相關(guān)查詢網(wǎng)站有：
https://dnsdb.io/zh-cn/ ###DNS查詢
https://x.threatbook.cn/ ###微步在線
http://toolbar.netcraft.com/site_report?url= ###在線域名信息查詢
http://viewdns.info/ ###DNS、IP等查詢
https://tools.ipip.net/cdn.php ###CDN查詢IP

 2）利用SecurityTrails平臺，攻擊者就可以精準(zhǔn)的找到真實原始IP。他們只需在搜索字段中輸入網(wǎng)站域名，然后按Enter鍵即可，這時“歷史數(shù)據(jù)”就可以在左側(cè)的菜單中找到。

如何尋找隱藏在CloudFlare或TOR背后的真實原始IP？



除了過去的DNS記錄，即使是當(dāng)前的記錄也可能泄漏原始服務(wù)器IP。例如，MX記錄是一種常見的查找IP的方式。如果網(wǎng)站在與web相同的服務(wù)器和IP上托管自己的郵件服務(wù)器，那么原始服務(wù)器IP將在MX記錄中。
 
方法2：查詢子域名

畢竟 CDN 還是不便宜的，所以很多站長可能只會對主站或者流量大的子站點(diǎn)做了 CDN，而很多小站子站點(diǎn)又跟主站在同一臺服務(wù)器或者同一個C段內(nèi)，此時就可以通過查詢子域名對應(yīng)的 IP 來輔助查找網(wǎng)站的真實IP。

下面介紹些常用的子域名查找的方法和工具：

 1）微步在線

上文提到的微步在線功能強(qiáng)大，黑客只需輸入要查找的域名(如baidu.com)，點(diǎn)擊子域名選項就可以查找它的子域名了，但是免費(fèi)用戶每月只有5次免費(fèi)查詢機(jī)會。

 2）Dnsdb查詢法。

黑客只需輸入baidu.com type:A就能收集百度的子域名和ip了。

3）Google 搜索

Google site:baidu.com -www就能查看除www外的子域名。

4）各種子域名掃描器

這里，主要為大家推薦子域名挖掘機(jī)和lijiejie的subdomainbrute(https://github.com/lijiejie/subDomainsBrute)

子域名挖掘機(jī)僅需輸入域名即可基于字典挖掘它的子域名。
 
Subdomainbrute以windows為例，黑客僅需打開cmd進(jìn)入它所在的目錄輸入Python subdomainbrute.py baidu.com --full即可收集百度的子域名。

注：收集子域名后嘗試以解析ip不在cdn上的ip解析主站，真實ip成功被獲取到。


方法3：網(wǎng)絡(luò)空間引擎搜索法

常見的有以前的鐘馗之眼，shodan，fofa搜索。以fofa為例，只需輸入：title:“網(wǎng)站的title關(guān)鍵字”或者body：“網(wǎng)站的body特征”就可以找出fofa收錄的有這些關(guān)鍵字的ip域名，很多時候能獲取網(wǎng)站的真實ip，如圖：
圖片

方法4:利用SSL證書尋找真實原始IP

使用給定的域名

假如你在xyz123boot.com上托管了一個服務(wù)，原始服務(wù)器IP是136.23.63.44。而CloudFlare則會為你提供DDoS保護(hù)，Web應(yīng)用程序防火墻和其他一些安全服務(wù)，以保護(hù)你的服務(wù)免受攻擊。為此，你的Web服務(wù)器就必須支持SSL并具有證書，此時CloudFlare與你的服務(wù)器之間的通信，就像你和CloudFlare之間的通信一樣，會被加密（即沒有靈活的SSL存在）。這看起來很安全，但問題是，當(dāng)你在端口443（https://136.23.63.44:443）上直接連接到IP時，SSL證書就會被暴露。

此時，如果攻擊者掃描0.0.0.0/0，即整個互聯(lián)網(wǎng)，他們就可以在端口443上獲取在xyz123boot.com上的有效證書，進(jìn)而獲取提供給你的Web服務(wù)器IP。

目前Censys工具就能實現(xiàn)對整個互聯(lián)網(wǎng)的掃描，Censys是一款用以搜索聯(lián)網(wǎng)設(shè)備信息的新型搜索引擎，安全專家可以使用它來評估他們實現(xiàn)方案的安全性，而黑客則可以使用它作為前期偵查攻擊目標(biāo)、收集目標(biāo)信息的強(qiáng)大利器。Censys搜索引擎能夠掃描整個互聯(lián)網(wǎng)，Censys每天都會掃描IPv4地址空間，以搜索所有聯(lián)網(wǎng)設(shè)備并收集相關(guān)的信息，并返回一份有關(guān)資源（如設(shè)備、網(wǎng)站和證書）配置和部署信息的總體報告。

而攻擊者唯一需要做的就是把上面用文字描述的搜索詞翻譯成實際的搜索查詢參數(shù)。

xyz123boot.com證書的搜索查詢參數(shù)為：parsed.names：xyz123boot.com

只顯示有效證書的查詢參數(shù)為：tags.raw：trusted

攻擊者可以在Censys上實現(xiàn)多個參數(shù)的組合，這可以通過使用簡單的布爾邏輯來完成。

組合后的搜索參數(shù)為：parsed.names: xyz123boot.com and tags.raw: trusted


Censys將向你顯示符合上述搜索條件的所有標(biāo)準(zhǔn)證書，以上這些證書是在掃描中找到的。

要逐個查看這些搜索結(jié)果，攻擊者可以通過單擊右側(cè)的“Explore”，打開包含多個工具的下拉菜單。What's using this certificate? > IPv4 Hosts

此時，攻擊者將看到一個使用特定證書的IPv4主機(jī)列表，而真實原始 IP就藏在其中。

你可以通過導(dǎo)航到端口443上的IP來驗證，看它是否重定向到xyz123boot.com？或它是否直接在IP上顯示網(wǎng)站？

使用給定的SSL證書

如果你是執(zhí)法部門的人員，想要找出一個隱藏在cheesecp5vaogohv.onion下的兒童色情網(wǎng)站。做好的辦法，就是找到其原始IP，這樣你就可以追蹤到其托管的服務(wù)器，甚至查到背后的運(yùn)營商以及金融線索。

隱藏服務(wù)具有SSL證書，要查找它使用的IPv4主機(jī)，只需將"SHA1 fingerprint"（簽名證書的sha1值）粘貼到Censys IPv4主機(jī)搜索中，即可找到證書，使用此方法可以輕松找到配置錯誤的Web服務(wù)器。

方法5:利用HTTP標(biāo)頭尋找真實原始IP

借助SecurityTrails這樣的平臺，任何人都可以在茫茫的大數(shù)據(jù)搜索到自己的目標(biāo)，甚至可以通過比較HTTP標(biāo)頭來查找到原始服務(wù)器。

特別是當(dāng)用戶擁有一個非常特別的服務(wù)器名稱與軟件名稱時，攻擊者找到你就變得更容易。

如果要搜索的數(shù)據(jù)相當(dāng)多，如上所述，攻擊者可以在Censys上組合搜索參數(shù)。假設(shè)你正在與1500個Web服務(wù)器共享你的服務(wù)器HTTP標(biāo)頭，這些服務(wù)器都發(fā)送的是相同的標(biāo)頭參數(shù)和值的組合。而且你還使用新的PHP框架發(fā)送唯一的HTTP標(biāo)頭（例如：X-Generated-Via：XYZ框架），目前約有400名網(wǎng)站管理員使用了該框架。而最終由三個服務(wù)器組成的交集，只需手動操作就可以找到了IP，整個過程只需要幾秒鐘。

例如，Censys上用于匹配服務(wù)器標(biāo)頭的搜索參數(shù)是80.http.get.headers.server :，查找由CloudFlare提供服務(wù)的網(wǎng)站的參數(shù)如下：

80.http.get.headers.server:cloudflare



 
方法6:利用網(wǎng)站返回的內(nèi)容尋找真實原始IP

如果原始服務(wù)器IP也返回了網(wǎng)站的內(nèi)容，那么可以在網(wǎng)上搜索大量的相關(guān)數(shù)據(jù)。

瀏覽網(wǎng)站源代碼，尋找獨(dú)特的代碼片段。在JavaScript中使用具有訪問或標(biāo)識符參數(shù)的第三方服務(wù)（例如Google Analytics，reCAPTCHA）是攻擊者經(jīng)常使用的方法。

以下是從HackTheBox網(wǎng)站獲取的Google Analytics跟蹤代碼示例：

ga（'create'，'UA-93577176-1'，'auto'）;

可以使用80.http.get.body：參數(shù)通過body/source過濾Censys數(shù)據(jù)，不幸的是，正常的搜索字段有局限性，但你可以在Censys請求研究訪問權(quán)限，該權(quán)限允許你通過Google BigQuery進(jìn)行更強(qiáng)大的查詢。

Shodan是一種類似于Censys的服務(wù)，也提供了http.html搜索參數(shù)。

搜索示例：https://www.shodan.io/search?query=http.html%3AUA-32023260-1

 
方法7:使用國外主機(jī)解析域名

國內(nèi)很多 CDN 廠商因為各種原因只做了國內(nèi)的線路，而針對國外的線路可能幾乎沒有，此時我們使用國外的主機(jī)直接訪問可能就能獲取到真實IP。
 
方法8:網(wǎng)站漏洞查找

1）目標(biāo)敏感文件泄露，例如：phpinfo之類的探針、GitHub信息泄露等。
2）XSS盲打，命令執(zhí)行反彈shell，SSRF等。
3）無論是用社工還是其他手段，拿到了目標(biāo)網(wǎng)站管理員在CDN的賬號，從而在從CDN的配置中找到網(wǎng)站的真實IP。
 
方法9:網(wǎng)站郵件訂閱查找

RSS郵件訂閱，很多網(wǎng)站都自帶 sendmail，會發(fā)郵件給我們，此時查看郵件源碼里面就會包含服務(wù)器的真實 IP 了。
 
方法10：用 Zmap 掃全網(wǎng)

需要找 xiaix.me 網(wǎng)站的真實 IP，我們首先從 apnic 獲取 IP 段，然后使用 Zmap 的 banner-grab 掃描出來 80 端口開放的主機(jī)進(jìn)行 banner 抓取，最后在 http-req 中的 Host 寫 xiaix.me。
 
方法11：F5 LTM解碼法

當(dāng)服務(wù)器使用F5 LTM做負(fù)載均衡時，通過對set-cookie關(guān)鍵字的解碼真實ip也可被獲取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小節(jié)的十進(jìn)制數(shù)即487098378取出來，然后將其轉(zhuǎn)為十六進(jìn)制數(shù)1d08880a，接著從后至前，以此取四位數(shù)出來，也就是0a.88.08.1d，最后依次把他們轉(zhuǎn)為十進(jìn)制數(shù)10.136.8.29，也就是最后的真實ip。