CDN Web サイトを展開して実際の IP を見つける
1. 概要
現在、多くの Web サイトが cdn サービスを使用しています.このサービスを使用すると、サーバーの実際の IP を隠し、Web サイト上の静的ファイルへのアクセスを高速化できます.Web サイトサービスを要求すると、cdn サービスはそれに応じて適切な回線を選択します. CDN は、Web サイトへのアクセスを高速化するだけでなく、cc 攻撃の防止、SQL インジェクションの傍受、その他の機能などの WAF サービスも提供できます。 CDNも高くなく、クラウドサーバーも多く無料で提供されているサービスです。ブラックボックステストを実施する場合、障害となることが多いため、CDN をマスターして実際の IP を見つけることは、マスターしなければならない技術になっています。
2. CDN が
ドメイン名を ping するかどうかを決定する
スーパー ping を使用
http://ping.chinaz.com/
http://ping.aizhan.com/
https://www.17ce.com/
http://ping.chinaz.com/www.t00ls.net
リージョンごとにアクセス用の IP が異なるため、ドメイン名は CDN を使用していると判断されます。
3. 本物のIPを見つける方法集
. 本物のIPが見つかったら、引き続き他のサイトを検出したり、他のサイトを見つけて突破したり、CDNをバイパスしてアクセスしたりして、wafの攻撃文の傍受を回避することができます. . 攻撃文があれば、攻撃の IP が検出されます。
3.1.DNS バインドの履歴記録
DNS の解決には、次の Web サイトからアクセスできます。CDN をバインドする前のレコードが存在する場合があります。
https://dnsdb.io/zh-cn/ ###DNS クエリ
https://x.threatbook.cn/ ###Weibu オンライン
http://viewdns.info/ ###DNS、IP などのクエリ
https ://tools.ipip.net/cdn.php ###CDNクエリIP
https://sitereport.netcraft.com/?url=ドメイン名
WWW.T00Ls.net の履歴を照会する
https://site.ip138.com/www.t00ls.net/
3.2. サブドメイン名の解決
サブドメイン名の解決を通じて、ターゲットの同じ IP を指すことも可能です。
ツールを使用してサブドメインを徹底的に列挙する
オンライン サブドメイン クエリ
https://securitytrails.com/list/apex_domain/t00ls.net
http://tool.chinaz.com/subdomain/t00ls.net
https://phpinfo.me/domain/
サブドメイン名を検索し、サブドメイン名に CDN がないことを確認して、ドメイン名解決クエリをバッチで実行し、CDN がある場合は履歴のクエリを続行します。
ドメイン名バッチ分析
http://tools.bugscaner.com/domain2ip.html
3.3. 外部 dnsは、国内 ip アクセスの場合にのみ cdn の実際の IP 部分を取得します。外部 ip がドメイン名にアクセスすると、実際の IP を取得できます。
ワールドワイド DNS アドレス:
http://www.ab173.com/dns/dns_world.php
https://dnsdumpster.com/
https://dnshistory.org/
http://whoisrequest.com/history/
https://completens .com/dns-history/
http://dnsrails.com/
https://who.is/domain-history/
http://research.domaintools.com/research/hosting-history/ http://site.ip138 .com/
http://viewdns.info/iphistory/
https://dnsdb.io/zh-cn/
https://www.virustotal.com/
https://x.threatbook.cn/
http://viewdns .info/
http://www.17ce.com/
http://toolbar.netcraft.com/site_report?url= https://securitytrails.com/
https://tools.ipip.net/cdn.php
3.4 .ico アイコンは、スペース検索によって実際の IP を見つけます
https://www.t00ls.net/favicon.ico アイコンをダウンロードし、識別のために fofa に配置します
fofaでアイコンを検索
このようにクエリを実行して、ポートが開いているかどうかを確認することで、リソースをすばやく見つけます。ここでは開いていません。
zoomeyeでアイコンを検索
ポートの開放状況を確認する
テスト用にホストをバインドする
これは実際の IP である必要があります。
3.5. fofa search 実際の IP
domain="t00ls.net" 302 は通常 cdn
3.6. censys で実際の IP を見つける
Censys ツールはインターネット全体をスキャンできます. Censys はネットワーク デバイス情報を検索するために使用される新しい検索エンジンです. インターネット全体をスキャンできます. Censys はインターネット上のすべての IP をスキャンして接続します.証明書の検出。
ターゲット サイトに https 証明書があり、デフォルトの仮想ホストに https 証明書が装備されている場合、https 証明書を持つすべてのサイトを見つけることができます。
クエリ
https://censys.io/ipv4?q=((www.t00ls.net) AND プロトコル: “443/https”) AND tags.raw: “https”&
443.https.tls.certificate.parsed by protocol .extensions.subject_alt_name.dns_names:moonsec.com
3.7.360測量地図センター
https://quake.360.cn
3.8. SSL 証明書を使用して実際の IP を見つける
認証局 (CA) は、発行するすべての SSL/TLS 証明書を公開ログに公開する必要があります. SSL/TLS 証明書には、通常、ドメイン名、サブドメイン、および電子メールアドレスが含まれています. そのため、SSL/TLS 証明書は攻撃者の入り口になります。
Web サイトの SSL 証明書の HASH を取得し、それを Censys と組み合わせて、Censys を
使用して SSL 証明書と Web サイトの HASH を検索し、https://crt.sh でターゲット Web サイトの SSL 証明書の HASH を見つけて使用します
。 HASH を検索して実際の IP アドレスを取得する Censys
SSL 証明書検索エンジン:
https://censys.io/ipv4?q=b6bce7fb8f7723ea63c6d0419e7af1f780d6b6cb1b4c2240e657f029142e2aae
https://censys.io/certificates?q=parsed.names%3A+t00ls.net+and+tags.raw%3A+trusted
ハッシュを見つける
検索用に ipv4 に変換
2 つの IP を検索
2 つの IP
222.186.129.100
118.184.255.28
または、ハッシュをネットワーク空間に入れて、
7489210725011808154949879630532736653を検索します。
ネットワーク IP の検索に成功したら、次のステップは、IP がこのドメイン名に属しているかどうかを判断することです。
3.9. メールボックスは実際の IP を取得します.
ウェブサイトが手紙を送信すると、実際の IP アドレスをメールボックスに入力して、ソース ファイルのヘッダー情報をチェックし、そこから選択します.
それが本当かどうかは、ウェブサイトと同じ IP アドレスであるかどうかにかかわらず、電子メールを送信する必要があります。
3.10. Web サイトの機密ファイルの実際の IP の取得
ファイル プローブ
phpinfo
Web サイトのソース コード
情報漏洩
GitHub 情報漏洩
js ファイル
3.11.F5 LTM デコード方法サーバーがロード バランシングに F5 LTM を使用する場合、set-cookie キーワードをデコードすることによって
実際の IP を取得することもできます。
サブセクションの 10 進数
は 487098378 で、それを 16 進数の 1d08880a に変換し、後ろから前に向かって
4 桁、つまり 0a.88.08.1d を取り、最後にそれらを 10 進数の 10.136 に変換します。 .8.29 は
最終的な実際の IP です。
rverpool-cas01=3255675072.20480.0000; パス=/
3255675072 を 16 進数に c20da8c0 c0a80dc2 を右から左に取り、10 進数に変換する 192 168 13 194
3.12.APP は実際の IP を取得します。Webサイトにアプリがある場合は、Fiddler または BurpSuite を使用してデータ パケットをキャプチャします。実際の IPエミュレーター mimi エミュレーターを
取得してパケットをキャプチャすることができます。
3.13. アプレットが実際の IP を取得する
3.14. 不適切な構成 実際の IP を取得する
CDN を構成するときは、ドメイン名、ポート、およびその他の情報を指定する必要があります. 細かい構成の詳細により、CDN 保護が簡単にバイパスされることがあります.
ケース 1: ユーザー アクセスを容易にするために、www.test.com と test.com を同じサイトに解決することが多く、CDN は www.test.com のみで構成されています。バイパスされます。
ケース 2: サイトは http と https のアクセスを同時にサポートし、CDN は https プロトコルのみを構成するため、現時点では http へのアクセスは簡単にバイパスできます。
3.15.banner
目的のサイトのバナーを取得し、ネットワーク全体の検索エンジンで検索する. AQUATONE を使用して、Shodan で同じ指紋サイトを検索することもできます.
Internet Information Center の IP データを使用してターゲット エリアの IP をフィルタリングし、Web サービスのバナーをトラバースして CDN ステーションのバナーを比較し、ソース IP を特定できます。
ヨーロッパ:
http://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
北米:
https://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest
アジア:
ftp://ftp.apnic.net/public/apnic/stats/apnic/delegated-apnic-latest
アフリカ:
ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest
ラテンアメリカ:
ftp: //ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest
CN の IP を取得
http://www.ipdeny.com/ipblocks/data/countries/cn.zone
例:
ターゲット サーバーの IP セグメントを見つけたら、ブルート フォース マッチングを直接実行し、zmap と massscan を使用して HTTP バナーをスキャンします。次に、ターゲット ドメイン名の同じバナーに一致させます
zmap -p 80 -w bbs.txt -o 80.txt
zmap の banner-grab を使用して、ポート 80 を開いた状態でスキャンしたホストのバナーを取得します。
cat /root/bbs.txt |./banner-grab-tcp -p 80 -c 100 -d http-req -f ascii > http-banners.out
Web サイトのリターン パッケージの特性に応じて、機能フィルタリングの
場所を実行します。 plugin.php? id=info:index
https://fofa.so/
title="T00LS | 地道な開発 - 安全性重視 - T00ls.Net"
https://www.zoomeye.org/
title: "T00LS |控えめな開発-集中学習安全-T00ls.Net」
https://quake.360.cn/
応答: 「T00LS | 控えめな開発-学習安全に専念- T00ls.Net」
1. ZMap は、インターネット全体を 45 分でスキャンできる最速のインターネット スキャン ツールであると主張しています。https://github.com/zmap/zmap
2. Masscan は最速のインターネット ポート スキャナーであると主張しており、最速で 6 分以内にインターネットをスキャンできます。
https://github.com/robertdavidgraham/masscan
3.16. 長期的な注意 長期
的な浸透の間、設定プログラムは毎日 Web サイトにアクセスし、新しい発見が行われる可能性があります。毎日の深夜やビジネスニーズが高まると、IPを変更してサーバーを変更します。
3.17. トラフィック攻撃
コントラクト送信者は一度に大量のトラフィックを送信できます。
この方法は非常に馬鹿げていますが、特定のターゲットの下に潜入することをお勧めします。
IP を非表示にすることに加えて、cdn はトラフィックの分散も考慮する場合があります.
ボリュームが大きい場合、無防備な cdn はハングし、高防御 cdn は大量のトラフィック アクセスを必要とします.
トラフィックの集中などの影響に耐えきれない場合、実際のIPが表示されることがあります。
ウェブマスター→業務異常→cdnを使用していない→サーバーを交換。
3.18. 受動的取得
受動的取得とは、サーバーまたはウェブサイトが積極的に当社のサーバーに接続して、サーバーの実際の IP を取得することです.
ウェブサイトにリモート URL の画像を入力できるエディターがある場合は、実際の IP を取得できます
. ssrf の脆弱性または xss があり、サーバーがアクティブに接続できるようにします。サーバーは実際の IP を取得できます。
3.19. ネットワーク全体をスキャンして実際の IP を取得する
https://github.com/superfish9/hackcdn
https://github.com/boy-hack/w8fuckcdn CDN Web サイトをデプロイして実際の IP を見つける
1. 概要
現在、多くの Web サイトが cdn サービスを使用しています.このサービスを使用すると、サーバーの実際の IP を隠し、Web サイト上の静的ファイルへのアクセスを高速化できます.Web サイトサービスを要求すると、cdn サービスはそれに応じて適切な回線を選択します. CDN は、Web サイトへのアクセスを高速化するだけでなく、cc 攻撃の防止、SQL インジェクションの傍受、その他の機能などの WAF サービスも提供できます。 CDNも高くなく、クラウドサーバーも多く無料で提供されているサービスです。ブラックボックステストを実施する場合、障害となることが多いため、CDN をマスターして実際の IP を見つけることは、マスターしなければならない技術になっています。
2. CDN が
ドメイン名を ping するかどうかを決定する
スーパー ping を使用
http://ping.chinaz.com/
http://ping.aizhan.com/
https://www.17ce.com/
http://ping.chinaz.com/www.t00ls.net
リージョンごとにアクセス用の IP が異なるため、ドメイン名は CDN を使用していると判断されます。
3. 本物のIPを見つける方法集
. 本物のIPが見つかったら、引き続き他のサイトを検出したり、他のサイトを見つけて突破したり、CDNをバイパスしてアクセスしたりして、wafの攻撃文の傍受を回避することができます. . 攻撃文があれば、攻撃の IP が検出されます。
3.1.DNS バインドの履歴記録
DNS の解決には、次の Web サイトからアクセスできます。CDN をバインドする前のレコードが存在する場合があります。
https://dnsdb.io/zh-cn/ ###DNS クエリ
https://x.threatbook.cn/ ###Weibu オンライン
http://viewdns.info/ ###DNS、IP などのクエリ
https ://tools.ipip.net/cdn.php ###CDNクエリIP
https://sitereport.netcraft.com/?url=ドメイン名
WWW.T00Ls.net の履歴を照会する
https://site.ip138.com/www.t00ls.net/
3.2. サブドメイン名の解決
サブドメイン名の解決を通じて、ターゲットの同じ IP を指すことも可能です。
ツールを使用してサブドメインを徹底的に列挙する
オンライン サブドメイン クエリ
https://securitytrails.com/list/apex_domain/t00ls.net
http://tool.chinaz.com/subdomain/t00ls.net
https://phpinfo.me/domain/
サブドメイン名を検索し、サブドメイン名に CDN がないことを確認して、ドメイン名解決クエリをバッチで実行し、CDN がある場合は履歴のクエリを続行します。
ドメイン名バッチ分析
http://tools.bugscaner.com/domain2ip.html
3.3. 外部 dnsは、国内 ip アクセスの場合にのみ cdn の実際の IP 部分を取得します。外部 ip がドメイン名にアクセスすると、実際の IP を取得できます。
ワールドワイド DNS アドレス:
http://www.ab173.com/dns/dns_world.php
https://dnsdumpster.com/
https://dnshistory.org/
http://whoisrequest.com/history/
https://completens .com/dns-history/
http://dnsrails.com/
https://who.is/domain-history/
http://research.domaintools.com/research/hosting-history/ http://site.ip138 .com/
http://viewdns.info/iphistory/
https://dnsdb.io/zh-cn/
https://www.virustotal.com/
https://x.threatbook.cn/
http://viewdns .info/
http://www.17ce.com/
http://toolbar.netcraft.com/site_report?url= https://securitytrails.com/
https://tools.ipip.net/cdn.php
3.4 .ico アイコンは、スペース検索によって実際の IP を見つけます
https://www.t00ls.net/favicon.ico アイコンをダウンロードし、識別のために fofa に配置します
fofaでアイコンを検索
このようにクエリを実行して、ポートが開いているかどうかを確認することで、リソースをすばやく見つけます。ここでは開いていません。
zoomeyeでアイコンを検索
ポートの開放状況を確認する
テスト用にホストをバインドする
これは実際の IP である必要があります。
3.5. fofa search 実際の IP
domain="t00ls.net" 302 は通常 cdn
3.6. censys で実際の IP を見つける
Censys ツールはインターネット全体をスキャンできます. Censys はネットワーク デバイス情報を検索するために使用される新しい検索エンジンです. インターネット全体をスキャンできます. Censys はインターネット上のすべての IP をスキャンして接続します.証明書の検出。
ターゲット サイトに https 証明書があり、デフォルトの仮想ホストに https 証明書が装備されている場合、https 証明書を持つすべてのサイトを見つけることができます。
クエリ
https://censys.io/ipv4?q=((www.t00ls.net) AND プロトコル: “443/https”) AND tags.raw: “https”&
443.https.tls.certificate.parsed by protocol .extensions.subject_alt_name.dns_names:moonsec.com
3.7.360測量地図センター
https://quake.360.cn
3.8. SSL 証明書を使用して実際の IP を見つける
認証局 (CA) は、発行するすべての SSL/TLS 証明書を公開ログに公開する必要があります. SSL/TLS 証明書には、通常、ドメイン名、サブドメイン、および電子メールアドレスが含まれています. そのため、SSL/TLS 証明書は攻撃者の入り口になります。
Web サイトの SSL 証明書の HASH を取得し、それを Censys と組み合わせて、Censys を
使用して SSL 証明書と Web サイトの HASH を検索し、https://crt.sh でターゲット Web サイトの SSL 証明書の HASH を見つけて使用します
。 HASH を検索して実際の IP アドレスを取得する Censys
SSL 証明書検索エンジン:
https://censys.io/ipv4?q=b6bce7fb8f7723ea63c6d0419e7af1f780d6b6cb1b4c2240e657f029142e2aae
https://censys.io/certificates?q=parsed.names%3A+t00ls.net+and+tags.raw%3A+trusted
ハッシュを見つける
検索用に ipv4 に変換
2 つの IP を検索
2 つの IP
222.186.129.100
118.184.255.28
または、ハッシュをネットワーク空間に入れて、
7489210725011808154949879630532736653を検索します。
ネットワーク IP の検索に成功したら、次のステップは、IP がこのドメイン名に属しているかどうかを判断することです。
3.9. メールボックスは実際の IP を取得します.
ウェブサイトが手紙を送信すると、実際の IP アドレスをメールボックスに入力して、ソース ファイルのヘッダー情報をチェックし、そこから選択します.
それが本当かどうかは、ウェブサイトと同じ IP アドレスであるかどうかにかかわらず、電子メールを送信する必要があります。
3.10. Web サイトの機密ファイルの実際の IP の取得
ファイル プローブ
phpinfo
Web サイトのソース コード
情報漏洩
GitHub 情報漏洩
js ファイル
3.11.F5 LTM デコード方法サーバーがロード バランシングに F5 LTM を使用する場合、set-cookie キーワードをデコードすることによって
実際の IP を取得することもできます。
サブセクションの 10 進数
は 487098378 で、それを 16 進数の 1d08880a に変換し、後ろから前に向かって
4 桁、つまり 0a.88.08.1d を取り、最後にそれらを 10 進数の 10.136 に変換します。 .8.29 は
最終的な実際の IP です。
rverpool-cas01=3255675072.20480.0000; パス=/
3255675072 を 16 進数に c20da8c0 c0a80dc2 を右から左に取り、10 進数に変換する 192 168 13 194
3.12.APP は実際の IP を取得します。Webサイトにアプリがある場合は、Fiddler または BurpSuite を使用してデータ パケットをキャプチャします。実際の IPエミュレーター mimi エミュレーターを
取得してパケットをキャプチャすることができます。
3.13. アプレットが実際の IP を取得する
3.14. 不適切な構成 実際の IP を取得する
CDN を構成するときは、ドメイン名、ポート、およびその他の情報を指定する必要があります. 細かい構成の詳細により、CDN 保護が簡単にバイパスされることがあります.
ケース 1: ユーザー アクセスを容易にするために、www.test.com と test.com を同じサイトに解決することが多く、CDN は www.test.com のみで構成されています。バイパスされます。
ケース 2: サイトは http と https のアクセスを同時にサポートし、CDN は https プロトコルのみを構成するため、現時点では http へのアクセスは簡単にバイパスできます。
3.15.banner
目的のサイトのバナーを取得し、ネットワーク全体の検索エンジンで検索する. AQUATONE を使用して、Shodan で同じ指紋サイトを検索することもできます.
Internet Information Center の IP データを使用してターゲット エリアの IP をフィルタリングし、Web サービスのバナーをトラバースして CDN ステーションのバナーを比較し、ソース IP を特定できます。
ヨーロッパ:
http://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-latest
北米:
https://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest
アジア:
ftp://ftp.apnic.net/public/apnic/stats/apnic/delegated-apnic-latest
アフリカ:
ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest
ラテンアメリカ:
ftp: //ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest
CN の IP を取得
http://www.ipdeny.com/ipblocks/data/countries/cn.zone
例:
ターゲット サーバーの IP セグメントを見つけたら、ブルート フォース マッチングを直接実行し、zmap と massscan を使用して HTTP バナーをスキャンします。次に、ターゲット ドメイン名の同じバナーに一致させます
zmap -p 80 -w bbs.txt -o 80.txt
zmap の banner-grab を使用して、ポート 80 を開いた状態でスキャンしたホストのバナーを取得します。
cat /root/bbs.txt |./banner-grab-tcp -p 80 -c 100 -d http-req -f ascii > http-banners.out
Web サイトのリターン パッケージの特性に応じて、機能フィルタリングの
場所を実行します。 plugin.php? id=info:index
https://fofa.so/
title="T00LS | 地道な開発 - 安全性重視 - T00ls.Net"
https://www.zoomeye.org/
title: "T00LS |控えめな開発-集中学習安全-T00ls.Net」
https://quake.360.cn/
応答: 「T00LS | 控えめな開発-学習安全に専念- T00ls.Net」
1. ZMap は、インターネット全体を 45 分でスキャンできる最速のインターネット スキャン ツールであると主張しています。https://github.com/zmap/zmap
2. Masscan は最速のインターネット ポート スキャナーであると主張しており、最速で 6 分以内にインターネットをスキャンできます。
https://github.com/robertdavidgraham/masscan
3.16. 長期的な注意 長期
的な浸透の間、設定プログラムは毎日 Web サイトにアクセスし、新しい発見が行われる可能性があります。毎日の深夜やビジネスニーズが高まると、IPを変更してサーバーを変更します。
3.17. トラフィック攻撃
コントラクト送信者は一度に大量のトラフィックを送信できます。
この方法は非常に馬鹿げていますが、特定のターゲットの下に潜入することをお勧めします。
IP を非表示にすることに加えて、cdn はトラフィックの分散も考慮する場合があります.
ボリュームが大きい場合、無防備な cdn はハングし、高防御 cdn は大量のトラフィック アクセスを必要とします.
トラフィックの集中などの影響に耐えきれない場合、実際のIPが表示されることがあります。
ウェブマスター→業務異常→cdnを使用していない→サーバーを交換。
3.18. 受動的取得
受動的取得とは、サーバーまたはウェブサイトが積極的に当社のサーバーに接続して、サーバーの実際の IP を取得することです.
ウェブサイトにリモート URL の画像を入力できるエディターがある場合は、実際の IP を取得できます
. ssrf の脆弱性または xss があり、サーバーがアクティブに接続できるようにします。サーバーは実際の IP を取得できます。
3.19. ネットワーク全体をスキャンして実際の IP を取得する
https://github.com/superfish9/hackcdn
https://github.com/boy-hack/w8fuckcdn