尋找隱藏在CloudFlare和Tor后的真實IP

來源: 今日頭條
作者:NOSEC安全訊息平臺
時間:2020-12-07
21381
在滲透測試時,我們經常會遇到目標處于CloudFlare或其他cdn服務之后,使我們無法發(fā)現(xiàn)原始服務器IP,難以使用某些滲透手段。但是,這類網站一旦出現(xiàn)設置不當,就有可能暴露真實IP。而一旦我們獲得了真實IP,自然就可以對這些網站進行暴力破解,DDoS攻擊等等。注意,隱藏Tor后的網站也有這種風險。以下將介紹幾種發(fā)掘網站真實IP的方法,希望大家能針對性地使用。

在滲透測試時,我們經常會遇到目標處于CloudFlare或其他cdn服務之后,使我們無法發(fā)現(xiàn)原始服務器IP,難以使用某些滲透手段。但是,這類網站一旦出現(xiàn)設置不當,就有可能暴露真實IP。而一旦我們獲得了真實IP,自然就可以對這些網站進行暴力破解,DDoS攻擊等等。注意,隱藏Tor后的網站也有這種風險。以下將介紹幾種發(fā)掘網站真實IP的方法,希望大家能針對性地使用。

1.SSL證書

1.1使用給定的域名

假設你有一個網站,域名為xyz123boot.com,服務器真實IP是136.23.63.44。CloudFlare為網站提供DDoS保護,Web防火墻和其他一些安全服務。你的Web服務器支持SSL并有證書,因此CloudFlare與你的服務器之間的通信就像你的網站用戶和CloudFlare之間的通信一樣加密(即SSL不夠靈活)。乍一看,好像沒什么問題。

但是,此時,真實IP的443端口(https://136.23.63.44:443)的證書會直接暴露在互聯(lián)網上。若對全球IP的443端口進行掃描,就能在某個IP的443端口上獲取涉及xyz123boot.com的有效證書,而這個IP就可以說是服務器的真實IP。

很多網絡搜索引擎可以收錄證書信息。你唯一需要做的就是將網站域名的關鍵詞進行搜索。

例如,對于Censys網絡搜索引擎,xyz123boot.com的證書的搜索語句如下:

parsed.names:xyz123boot.com

只顯示有效的證書:

tags.raw:trusted

在Censys上對這些搜索條件進行布爾組合即可。

最后搜索語句:

parsed.names:xyz123boot.com and tags.raw:trusted

ia_900000012.jpg

Censys將顯示符合上述標準的所有證書,這些證書是他們在全球掃描中找到的。

逐個單擊搜索結果,你可以在詳情頁面右側的“瀏覽”中發(fā)現(xiàn)多個工具,然后我們點擊What's using this certificate? > IPv4 Hosts

ia_900000013.jpg

這時你可以看到使用這個證書的所有IPv4主機列表。其中某個就可能是真實IP。

ia_900000014.jpg

最后,你可以直接導航到某個IP的443端口進行驗證,看它是否重定向到xyz123boot.com?或者是否會直接顯示網站?

1.2通過給定的證書

你是聯(lián)邦調查局,想關閉一個在暗網中的cheesecp5vaogohv.onion域名的色情網站。那么你就必須要原始IP,這樣才能找到主機,找到運營商,最后找到服務器所有者。

此時,利用網絡搜索引擎,我們可以查找使用相同SSL證書的IPv4主機,只需將其SHA1指紋(沒有冒號)粘貼到Censys IPv4主機搜索中即可。不是所有服務器的SSL都配置嚴謹。

2.DNS記錄

也許你的網站在使用CloudFlare之前曾短暫將真實IP暴露于公網。此時,如果Censys的DNS記錄有你的網站的A記錄,就會暴露你的網站的真實IP。

有一個專門用于查詢域名記錄的網站SecurityTrails。只需在搜索字段中輸入網站域名,然后按Enter鍵即可。你就能在“歷史數(shù)據”中找到驚喜。

ia_900000015.jpg

除了以前的A記錄,即使是當前的DNS記錄也可能泄漏真實IP。例如,MX記錄,即郵件交換記錄。如果郵件服務器和目標網站在同一個服務器上,則真實IP可能存在于MX記錄中。

3.HTTP頭

通過網絡搜索引擎,你甚至可以通過比較HTTP頭來查找原始IP。

特別是當目標網站有一個非常獨特的服務器請求頭以及網站所使用的各種軟件及其版本時,都能大大減輕查詢的難度。

而且正如1.1節(jié)中所述,您可以在Censys上組合查詢參數(shù)進行搜索。再配合一些其他信息,就能快速定位到網站。

假設你的服務器的請求頭組成大致和1500個其他Web服務器的請求頭相同,你的網站還使用一個新的PHP框架,這也是很獨特的HTTP標頭(例如:X-Generated-Via:XYZ fr amework),目前約有400名網站使用該框架。就這樣不停比對,運氣好的情況下,很快就能找到真實IP。

例如,Censys上涉及服務器請求頭的搜索參數(shù)是

80.http.get.headers.server:

查找使用了CloudFlare服務的網站的語句如下:

80.http.get.headers.server:cloudflare

ia_900000016.jpg

4.應用和服務

網站本身的很多功能可能并不完善,包括完整網站所使用的開源軟件包,自編寫的代碼等都有可能存在某些“輕微”的漏洞,例如,報錯信息不規(guī)范等。而這些信息就很有可能縮小我們的搜索范圍。

此外,即使是正常的網站服務,也有可能為我們所用。例如你需要在目標網站上設置一個頭像,而且是通過提供圖片URL的方式(不是上傳圖片)。那么目標網站可能主動從其他網站下載圖片,如果你控制著放置圖片的網站。那么目標的真實IP就在日志中。

最重要的就是多多嘗試,網站管理員可能會犯很多錯誤。

5.內容

在某些情況下,直接訪問目標服務器IP也會返回網站內容。那么,問題就簡單了,網絡搜索引擎能幫我們大忙。

在網站的源代碼中,很可能存在獨特的代碼片段,以及很多第三方服務的痕跡(例如Google Analytics,reCAPTCHA)。

例如,HackTheBox網站的Google Analytics Tracking代碼如下:

ga('create','UA-93577176-1','auto');

通過使用80.http.get.body:參數(shù),我們就可以在Censys的數(shù)據中搜索出對應的網站。

當然,普通的搜索字段是有局限性。您可以在Censys上請求研究訪問權限,這樣就可以通過Google BigQuery進行更強大的查詢。

而在另一款網絡搜索產品Shodan中,我們也可以根據http.html搜索參數(shù)進行相同的查詢。

示例如下:

https://www.shodan.io/search?query=http.html%3AUA-32023260-1

ia_900000017.jpg

后記

要找到隱藏在Tor或CloudFlare后面的原始IP需要一定的創(chuàng)造力。

在這里推薦x0rz所寫的Securing a Web Hidden Service,里面介紹了不少安全隱藏自己網站的方法,同時也說明一旦網站管理者出現(xiàn)疏忽,就會出大事。

當然,目前CloudFlare也有很多措施來防御。例如,建立CloudFlare和服務器之間的單獨隧道。這意味著管理員不必在公網公開網站。還有使用白名單機制,禁止其他IP連接上網站。

本文由白帽匯整理并翻譯,不代表白帽匯任何觀點和立場

來源:https://nosec.org/home/detail/2405.html

原文:https://www.secjuice.com/finding-real-ips-of-origin-servers-behind-cloudflare-or-tor/

立即登錄,閱讀全文
版權說明:
本文內容來自于今日頭條,本站不擁有所有權,不承擔相關法律責任。文章內容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
優(yōu)質服務商推薦
更多
掃碼登錄
打開掃一掃, 關注公眾號后即可登錄/注冊
加載中
二維碼已失效 請重試
刷新
賬號登錄/注冊
個人VIP
小程序
快出海小程序
公眾號
快出海公眾號
商務合作
商務合作
投稿采訪
投稿采訪
出海管家
出海管家