在滲透測(cè)試時(shí),我們經(jīng)常會(huì)遇到目標(biāo)處于CloudFlare或其他cdn服務(wù)之后���,使我們無(wú)法發(fā)現(xiàn)原始服務(wù)器IP�,難以使用某些滲透手段��。但是����,這類網(wǎng)站一旦出現(xiàn)設(shè)置不當(dāng)���,就有可能暴露真實(shí)IP�。而一旦我們獲得了真實(shí)IP��,自然就可以對(duì)這些網(wǎng)站進(jìn)行暴力破解,DDoS攻擊等等�����。注意�,隱藏Tor后的網(wǎng)站也有這種風(fēng)險(xiǎn)。以下將介紹幾種發(fā)掘網(wǎng)站真實(shí)IP的方法��,希望大家能針對(duì)性地使用���。
在滲透測(cè)試時(shí)���,我們經(jīng)常會(huì)遇到目標(biāo)處于CloudFlare或其他cdn服務(wù)之后,使我們無(wú)法發(fā)現(xiàn)原始服務(wù)器IP�����,難以使用某些滲透手段���。但是��,這類網(wǎng)站一旦出現(xiàn)設(shè)置不當(dāng)���,就有可能暴露真實(shí)IP��。而一旦我們獲得了真實(shí)IP���,自然就可以對(duì)這些網(wǎng)站進(jìn)行暴力破解,DDoS攻擊等等����。注意,隱藏Tor后的網(wǎng)站也有這種風(fēng)險(xiǎn)�����。以下將介紹幾種發(fā)掘網(wǎng)站真實(shí)IP的方法�����,希望大家能針對(duì)性地使用�����。
1.SSL證書
1.1使用給定的域名
假設(shè)你有一個(gè)網(wǎng)站�����,域名為xyz123boot.com�,服務(wù)器真實(shí)IP是136.23.63.44。CloudFlare為網(wǎng)站提供DDoS保護(hù)����,Web防火墻和其他一些安全服務(wù)。你的Web服務(wù)器支持SSL并有證書�,因此CloudFlare與你的服務(wù)器之間的通信就像你的網(wǎng)站用戶和CloudFlare之間的通信一樣加密(即SSL不夠靈活)。乍一看��,好像沒(méi)什么問(wèn)題��。
但是�,此時(shí),真實(shí)IP的443端口(https://136.23.63.44:443)的證書會(huì)直接暴露在互聯(lián)網(wǎng)上�����。若對(duì)全球IP的443端口進(jìn)行掃描��,就能在某個(gè)IP的443端口上獲取涉及xyz123boot.com的有效證書�,而這個(gè)IP就可以說(shuō)是服務(wù)器的真實(shí)IP。
很多網(wǎng)絡(luò)搜索引擎可以收錄證書信息��。你唯一需要做的就是將網(wǎng)站域名的關(guān)鍵詞進(jìn)行搜索����。
例如��,對(duì)于Censys網(wǎng)絡(luò)搜索引擎�����,xyz123boot.com的證書的搜索語(yǔ)句如下:
parsed.names:xyz123boot.com
只顯示有效的證書:
tags.raw:trusted
在Censys上對(duì)這些搜索條件進(jìn)行布爾組合即可�����。
最后搜索語(yǔ)句:
parsed.names:xyz123boot.com and tags.raw:trusted
Censys將顯示符合上述標(biāo)準(zhǔn)的所有證書���,這些證書是他們?cè)谌驋呙柚姓业降摹?/span>
逐個(gè)單擊搜索結(jié)果,你可以在詳情頁(yè)面右側(cè)的“瀏覽”中發(fā)現(xiàn)多個(gè)工具��,然后我們點(diǎn)擊What's using this certificate? > IPv4 Hosts
這時(shí)你可以看到使用這個(gè)證書的所有IPv4主機(jī)列表����。其中某個(gè)就可能是真實(shí)IP。
最后���,你可以直接導(dǎo)航到某個(gè)IP的443端口進(jìn)行驗(yàn)證�����,看它是否重定向到xyz123boot.com�?或者是否會(huì)直接顯示網(wǎng)站?
1.2通過(guò)給定的證書
你是聯(lián)邦調(diào)查局�,想關(guān)閉一個(gè)在暗網(wǎng)中的cheesecp5vaogohv.onion域名的色情網(wǎng)站��。那么你就必須要原始IP�����,這樣才能找到主機(jī)����,找到運(yùn)營(yíng)商,最后找到服務(wù)器所有者�。
此時(shí),利用網(wǎng)絡(luò)搜索引擎�����,我們可以查找使用相同SSL證書的IPv4主機(jī)�,只需將其SHA1指紋(沒(méi)有冒號(hào))粘貼到Censys IPv4主機(jī)搜索中即可。不是所有服務(wù)器的SSL都配置嚴(yán)謹(jǐn)��。
2.DNS記錄
也許你的網(wǎng)站在使用CloudFlare之前曾短暫將真實(shí)IP暴露于公網(wǎng)����。此時(shí)�����,如果Censys的DNS記錄有你的網(wǎng)站的A記錄���,就會(huì)暴露你的網(wǎng)站的真實(shí)IP。
有一個(gè)專門用于查詢域名記錄的網(wǎng)站SecurityTrails�����。只需在搜索字段中輸入網(wǎng)站域名��,然后按Enter鍵即可����。你就能在“歷史數(shù)據(jù)”中找到驚喜。
除了以前的A記錄�,即使是當(dāng)前的DNS記錄也可能泄漏真實(shí)IP。例如��,MX記錄��,即郵件交換記錄��。如果郵件服務(wù)器和目標(biāo)網(wǎng)站在同一個(gè)服務(wù)器上,則真實(shí)IP可能存在于MX記錄中�。
3.HTTP頭
通過(guò)網(wǎng)絡(luò)搜索引擎,你甚至可以通過(guò)比較HTTP頭來(lái)查找原始IP����。
特別是當(dāng)目標(biāo)網(wǎng)站有一個(gè)非常獨(dú)特的服務(wù)器請(qǐng)求頭以及網(wǎng)站所使用的各種軟件及其版本時(shí),都能大大減輕查詢的難度����。
而且正如1.1節(jié)中所述�,您可以在Censys上組合查詢參數(shù)進(jìn)行搜索。再配合一些其他信息��,就能快速定位到網(wǎng)站�����。
假設(shè)你的服務(wù)器的請(qǐng)求頭組成大致和1500個(gè)其他Web服務(wù)器的請(qǐng)求頭相同���,你的網(wǎng)站還使用一個(gè)新的PHP框架����,這也是很獨(dú)特的HTTP標(biāo)頭(例如:X-Generated-Via:XYZ fr amework)�����,目前約有400名網(wǎng)站使用該框架。就這樣不停比對(duì)���,運(yùn)氣好的情況下�,很快就能找到真實(shí)IP�。
例如,Censys上涉及服務(wù)器請(qǐng)求頭的搜索參數(shù)是
80.http.get.headers.server:
查找使用了CloudFlare服務(wù)的網(wǎng)站的語(yǔ)句如下:
80.http.get.headers.server:cloudflare
4.應(yīng)用和服務(wù)
網(wǎng)站本身的很多功能可能并不完善�����,包括完整網(wǎng)站所使用的開源軟件包�����,自編寫的代碼等都有可能存在某些“輕微”的漏洞����,例如,報(bào)錯(cuò)信息不規(guī)范等�����。而這些信息就很有可能縮小我們的搜索范圍���。
此外��,即使是正常的網(wǎng)站服務(wù)��,也有可能為我們所用���。例如你需要在目標(biāo)網(wǎng)站上設(shè)置一個(gè)頭像����,而且是通過(guò)提供圖片URL的方式(不是上傳圖片)�。那么目標(biāo)網(wǎng)站可能主動(dòng)從其他網(wǎng)站下載圖片�,如果你控制著放置圖片的網(wǎng)站。那么目標(biāo)的真實(shí)IP就在日志中���。
最重要的就是多多嘗試����,網(wǎng)站管理員可能會(huì)犯很多錯(cuò)誤����。
5.內(nèi)容
在某些情況下,直接訪問(wèn)目標(biāo)服務(wù)器IP也會(huì)返回網(wǎng)站內(nèi)容�����。那么,問(wèn)題就簡(jiǎn)單了�����,網(wǎng)絡(luò)搜索引擎能幫我們大忙���。
在網(wǎng)站的源代碼中�����,很可能存在獨(dú)特的代碼片段�����,以及很多第三方服務(wù)的痕跡(例如Google Analytics�,reCAPTCHA)����。
例如,HackTheBox網(wǎng)站的Google Analytics Tracking代碼如下:
ga('create','UA-93577176-1','auto');
通過(guò)使用80.http.get.body:參數(shù)�����,我們就可以在Censys的數(shù)據(jù)中搜索出對(duì)應(yīng)的網(wǎng)站。
當(dāng)然����,普通的搜索字段是有局限性。您可以在Censys上請(qǐng)求研究訪問(wèn)權(quán)限����,這樣就可以通過(guò)Google BigQuery進(jìn)行更強(qiáng)大的查詢。
而在另一款網(wǎng)絡(luò)搜索產(chǎn)品Shodan中����,我們也可以根據(jù)http.html搜索參數(shù)進(jìn)行相同的查詢。
示例如下:
https://www.shodan.io/search?query=http.html%3AUA-32023260-1
后記
要找到隱藏在Tor或CloudFlare后面的原始IP需要一定的創(chuàng)造力�。
在這里推薦x0rz所寫的Securing a Web Hidden Service,里面介紹了不少安全隱藏自己網(wǎng)站的方法�,同時(shí)也說(shuō)明一旦網(wǎng)站管理者出現(xiàn)疏忽��,就會(huì)出大事����。
當(dāng)然,目前CloudFlare也有很多措施來(lái)防御��。例如�����,建立CloudFlare和服務(wù)器之間的單獨(dú)隧道。這意味著管理員不必在公網(wǎng)公開網(wǎng)站�����。還有使用白名單機(jī)制����,禁止其他IP連接上網(wǎng)站。
本文由白帽匯整理并翻譯���,不代表白帽匯任何觀點(diǎn)和立場(chǎng)
來(lái)源:https://nosec.org/home/detail/2405.html
原文:https://www.secjuice.com/finding-real-ips-of-origin-servers-behind-cloudflare-or-tor/
立即登錄����,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于今日頭條,本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn)����,不代表快出海對(duì)觀點(diǎn)贊同或支持���。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除����!
閩公網(wǎng)安備 35010202001226號(hào)
