當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x01 多地ping
如果多地ping同一網站,出現多個解析IP地址,那麼說明使用了CDN進行內容分發~
- http://www.baidu.com
可以看到解析到10多個IP地址,猜測應該是使用了CDN
0x02 nslookup
使用nslookup查看域名解析對應的IP地址
如上圖所示,解析到多個IP地址則說明使用了CDN,如下圖所示,解析到的IP地址只有一個,說明沒有使用CDN網絡~
0x03 DNS 歷史查詢
查看IP與域名綁定的歷史記錄,有可能會存在使用CDN前的記錄信息
DNS歷史:https://completedns.com/dns-history/
域歷史記錄檢查器:https://whoisrequest.com/history/
世界上最大的DNS庫:https://securitytrails.com/dns-trails
WHOIS搜索,域名,網站,和IP工具- WHOIS:https://who.is/
託管歷史|過去的IP, DNS,註冊商信息|域名工具:https://research.domaintools.com/research/hosting-history/
全球DNS搜索引擎:https://dnsdb.io/zh-cn/
網站全國各地Ping值測試|在線ping工具—卡卡網:http://www.webkaka.com/ping.aspx
CA應用合成監控網站監控服務- Ping - IPv6:https://asm.ca.com/en/ping.php
iphistory:https://viewdns.info/iphistory/
DNS查詢:https://dnsdb.io/zh-cn/
Netcraft:https://sitereport.netcraft.com/?url=github.com
CDN Finder工具:https://www.cdnplanet.com/tools/cdnfinder/
DNS查詢
0x04 查找子域名
很多時候,站長都喜歡對主站或者流量大的子站點加 CDN,很多小站點又跟主站在同一臺服務器或者同一個C段內,一些重要的站點會做CDN,而一些子域名站點並沒有加入CDN,而且跟主站在同一個C段內,這時候,就可以通過查找子域名來查找網站的真實IP。
常用的子域名查找方法和工具:
1、搜索引擎查詢:如Google、baidu、Bing等傳統搜索引擎,site:baidu.com inurl:baidu.com,搜target.com|公司名字。
2、一些在線查詢工具,如:
http://tool.chinaz.com/subdomain/
http://searchdns.netcraft.com/
3、 子域名爆破工具
Layer子域名挖掘機
wydomain:https://github.com/ring04h/wydomain
subDomainsBrute:https://github.com/lijiejie/
Sublist3r:https://github.com/aboul3la/Sublist3r
0x05 反向連接
讓服務器主動連接我們告訴我們它的IP,如RSS郵件訂閱、郵箱註冊、郵箱密碼找回等,很多網站都自帶sendmail,通過網站給自己發送郵件,從而讓目標主動暴露他們的真實的IP,查看郵件頭信息,獲取到網站的真實IP。
0x06 利用SSL證書尋找真實IP
證書頒發機構(CA)必須將他們發佈的每個SSL/TLS證書發佈到公共日誌中,SSL/TLS證書通常包含域名、子域名和電子郵件地址。因此SSL/TLS證書成爲了攻擊者的切入點。
SSL證書搜索引擎:
https://censys.io/ipv4?q=github.com
https://transparencyreport.google.com/https/certificates?hl=zh_CN
https://www.chinassl.net/ssltools/ssl-checker.html
0x07 國外解析域名
國內很多 CDN 廠商因爲各種原因只做了國內的線路,而針對國外的線路可能幾乎沒有,此時我們使用國外的DNS查詢,很可能獲取到真實IP。
國外多PING測試工具:
https://asm.ca.com/zh_cn/ping.php
0x08 漏洞利用
利用漏洞目標服務器主動來連接我們,知道真實IP後,可以實施比如SSRF、XSS盲打,命令執行反彈shell等等。
0x09 目標敏感文件泄露
也許目標服務器上存在一些泄露的敏感文件中會告訴我們網站的IP,另外就是如 phpinfo之類的探針了。
例如:
配置CDN的時候,需要指定域名、端口等信息,有時候小小的配置細節就容易導致CDN防護被繞過。
案例1:爲了方便用戶訪問,我們常常將www.test.com 和 test.com 解析到同一個站點,而CDN只配置了www.test.com,通過訪問test.com,就可以繞過 CDN 了。
案例2:站點同時支持http和https訪問,CDN只配置 https協議,那麼這時訪問http就可以輕易繞過。
0x010 掃描全網
通過Zmap、masscan等工具對整個互聯網發起掃描,針對掃描結果進行關鍵字查找,獲取網站真實IP。
ZMap:https://github.com/zmap/zmap
Masscan:https://github.com/robertdavidgraham/masscan
0x11 從 CDN 入手
無論,是用社工還是其他手段,反正是拿到了目標網站管理員在CDN的賬號了,此時就可以自己在CDN的配置中找到網站的真實IP了。
0x12 利用HTTP標頭尋找真實原始IP
當我們知道一個擁有非常特別的服務器名稱與軟件名稱時,可以通過HTTP標頭來尋找真實IP。
Censys 是一款用以搜索聯網設備信息的新型搜索引擎,安全專家可以使用它來評估他們實現方案的安全性,而黑客則可以使用它作爲前期偵查攻擊目標、收集目標信息的強大利器。
Censys 搜索引擎能夠掃描整個互聯網,Censys 每天都會掃描IPv4地址空間,以搜索所有聯網設備並收集相關的信息,並返回一份有關資源(如設備、網站和證書)配置和部署信息的總體報告。
censys:https://censys.io/
查找由CloudFlare提供服務的網站的參數的網站有哪些,如下
0x13 利用網站返回的內容尋找真實原始IP
瀏覽網站源代碼,尋找獨特的代碼片段。在JavaScript中使用具有訪問或標識符參數的第三方服務(例如Google Analytics,reCAPTCHA)是攻擊者經常使用的方法。
以下是從HackTheBox網站獲取的Google Analytics跟蹤代碼示例:
ga('create','UA-93577176-1','auto');
可以使用80.http.get.body:參數通過body/source過濾Censys數據,不幸的是,正常的搜索字段有侷限性,但你可以在Censys請求研究訪問權限,該權限允許你通過Google BigQuery進行更強大的查詢。
Shodan是一種類似於Censys的服務,也提供了http.html搜索參數。
搜索示例:https://www.shodan.io/search?query=http.html%3AUA-32023260-1
0x14 F5 LTM解碼法
服務器使用F5 LTM做負載均衡時,通過對set-cookie關鍵字的解碼真實ip也可被獲取
例如:
Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小節的十進制數即487098378取出來,然後將其轉爲十六進制數1d08880a,接着從後至前,以此取四位數出來,也就是0a.88.08.1d,最後依次把他們轉爲十進制數10.136.8.29,也就是最後的真實ip。
參考鏈接:
https://blog.csdn.net/Fly_hps/article/details/98486807
https://mp.weixin.qq.com/s/JkqLu0SBcOGIq7JdLzj8Uw
https://www.cnblogs.com/qiudabai/p/9763739.html
雖然我們生活在陰溝裏,但依然有人仰望星空!