CDNをバイパスして実際のIPを見つける方法のまとめ

記事ディレクトリ

序文
1. CDNを使用するかどうかの判断方法
2. CDN をバイパスして実際の IP を見つける方法
3. 見つかった IP が実際の IP であるかどうかを確認します

序文

CDN の正式名称はContent Delivery Networkコンテンツ配信ネットワークです。CDN を有効にすると、Web サイトはユーザーの位置に応じて CDN ノードサーバーにアクセスし、ソースサーバーに直接アクセスしないため、Web サイトサーバーの帯域幅リソースが削減され、サーバーの負荷が軽減されます。これが、誰もが Baidu に ping を送信しているのに、地域ごとに異なるフィードバック IP アドレスを受け取る理由です。CDN ノードのブロック保護により、サーバーのセキュリティをより適切に保護できます。具体的には、CDN は実際に代役として機能し、サーバーが DD0S に侵入されているか攻撃されているかに関係なく、攻撃のターゲットは CDN ノードとなり、Web サイト自体を間接的に保護します。
侵入テストや赤青対決中に、CDN を使用する Web サイトに遭遇することがよくあります。実際の IP を見つけることは、その後の侵入に非常に役立ちます。たとえば、IP への直接アクセスは、クラウド WAF をバイパスしたり、ポートをスキャンしたりする可能性があります。

Web サイトへのユーザーアクセスプロセス:

   传统访问：用户访问域名–>解析服务器IP–>访问目标主机
   普通CDN：用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机
   带WAF的CDN：用户访问域名–>CDN节点（云WAF）–>真实服务器IP–>访问目标主机

1. CDNを使用するかどうかの判断方法

1.1. 直接 ping

Web サイトのドメイン名を直接ping設定する場合、Web サイトを使用する場合、cdn次のような状況が発生します。

~ ping www.syxxx.cn
PING 539b1c6d114eec86.360safedns.com (221.2xx.1xx.1x): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2

1.2. 複数の場所からの ping

さまざまなマルチリージョンpingサービスを使用して、対応する IP アドレスが一意であるかどうかを確認します。一意でない場合は、おそらく使用されていますCDN。マルチリージョン Ping Web サイトには次のものがあります。

http://ping.chinaz.com/

http://ping.aizhan.com/

https://www.17ce.com/

1.3. nslookup

検出に使用しますnslookup。原理は上記と同じです。返されたドメイン名解決が複数の IP アドレスに対応する場合、それが使用される可能性がありますCDN。

いくつかのCDN例:

～ nslookup www.16xx.com
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: 163.xdwscache.ourglb0.com
Addresses: 58.xxx.xx.86
xxx.75.32.xxx
Aliases: www.16xx.com
www.16xx.com.lxdns.com

CDN を使用しない例:

~ nslookup xxxx.com
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: xxxx.com
Address: 192.3.168.172

1.4. 応答ヘッダーの「X-cache」フィールドを表示する

ブラウザでアクセスし、応答ヘッダーの「X-cache」フィールドを確認します。

「MISS」が表示され、CDN キャッシュがヒットせず、ソースが返されたことを示します
。例:X-cache:MISS Tcp_MISS dirn:-2:-2
「HIT」の表示は、cdn キャッシュがヒットしたことを示します
。例:X-cache:HIT TCP_HIT dirn:0:402545

2. CDN をバイパスして実際の IP を見つける方法

本当のIPが見つからない可能性があります

2.1. 空間検索エンジン

ウェブサイトの特性に応じて

a. fofa で使用されるような、Web サイトの特定のタイトルまたは Web サイト本文の特性に基づくことができます、またはtitle:xxxxxb body:xxxx
. サーバー応答コンテンツのフィンガープリント. リクエストに対するサーバーの応答コンテンツ (応答ヘッダーと応答本文) に特別な情報 (フィンガープリント) がある場合この独自の機能を使用して、検索エンジンで検索し、対象の Web サイトと関連性の高い IP アドレスなどの情報を取得できます。

ドメイン名を検索する

直接domain:xxxx.com、サブドメイン名やその他の情報を検索して実際の IP を見つけることができます。 ps: 検索エンジンの一致条件の使用方法を学習してください。

私のお気に入りの検索エンジン:

鍾馗の目：https://www.zoomeye.org
初段：https://www.shodan.io
フォファ：https://fofa.so
···

2.2. Web サイトの脆弱性

phpinfoなどのプローブやGitHub情報漏洩など、対象となる機密ファイルが漏洩します。
XSS ブラインドタイピング、コマンド実行リバウンドシェル、SSRF などにより、サーバーは積極的に外部接続を開始し、実際の IP アドレスを漏洩します。

2.3. 不適切な Web サイト設定

CDN を構成するときは、ドメイン名、ポート、その他の情報を指定する必要がありますが、場合によっては、小さな構成の詳細によって CDN 保護が簡単にバイパスされてしまうことがあります。

一部の Web サイトでは、www.xxx.com と xxx.com が同じサイトに解決されることがよくありますが、CDN は www.xxx.com でのみ構成されており、xxx.com にアクセスすることで CDN をバイパスできます。
このサイトは http と https の両方のアクセスをサポートしており、CDN は https プロトコルでのみ構成されているため、http へのアクセスは簡単にバイパスできます。

2.4. ドメイン名

サブドメイン

結局のところ、CDN はまだ安くはないため、多くの Web マスターはトラフィックの多いメイン Web サイトまたはサブサイトにのみ CDN を使用する可能性があり、多くの小規模な Web サイトのサブサイトはメイン Web サイトと同じサーバーまたは同じ C セグメント上にあります。現時点では、サブドメイン名に対応する IP をクエリすることで、Web サイトの実際の IP を見つけることができます。

その他のドメイン名

Web サイトに関連付けられている Web サイトは CDN を使用していない可能性があります。関連 Web サイトとメインサイトが同じサーバー上または同じ C セグメントにある可能性があります。この場合、次のドメイン名に対応する IP をクエリできます。 Web サイトの実際の IP を見つけるのに役立つ、関連する Web サイト。

2.5. メールサーバーソース

Web サイトがサードパーティのメールボックスを使用していない場合は、登録やパスワードの取得、サブスクリプションなどの機能を使用して、相手のメールサーバーにメールボックスをアクティブに送信し、ソースコード (または情報ヘッダー) を表示するように要求できます。、以下に示すように。本当のIPを知ることは可能ですが、相手のメールサーバーが独立していることがわかった場合は、cセクションを確認することができます。
ここに画像の説明を挿入します

2.6. APPクライアント

APP クライアントの一部の API インターフェイスが IP インターフェイスを直接使用している可能性があります。この場合は、サーバー IP または c セクションを確認できます。

2.7. DOS (非推奨)

DDOS が CDN トラフィックを使い果たすと、実際の IP を取得できるように送信元に戻りますが、無防備な CDN の容量が大きい場合は失敗し、高防御の CDN ではトラフィックが増加します。

2.8. グローバル ping

ほとんどの CDN メーカーは、さまざまな理由から国内回線のみを提供しており、海外回線はほとんど存在しない可能性があります。現時点では、海外 DNS クエリを使用すると、実際の IP を取得できる可能性があります。

https://www.wepcc.com
…

2.9. IP および DNS 解決の履歴記録

IP とドメイン名のバインドの履歴記録を確認します。CDN を使用する前の記録が存在する可能性があります。関連するクエリ Web サイトは次のとおりです。

https://dnsdb.io/zh-cn/

https://x.threatbook.cn/

http://toolbar.netcraft.com/site_report?url=

http://viewdns.info/

https://tools.ipip.net/cdn.php

https://securitytrails.com/#search

2.10. F5 LTM デコード方法

サーバーがロードバランシングに F5 LTM を使用する場合、set-cookie実際の IP はキーワードをデコードすることによっても取得できます。たとえば、Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000最初487098378のセクションの 10 進数を取り出し、次にそれを 16 進数に変換し1d08880a、次に From からに戻します。先頭の 4 桁を取得し、0a.88.08.1d最終的に 10 進数に変換すると10.136.8.29、最終的な IP になります。

2.11. SSL 証明書を使用して実際の元の IP を見つける

認証局 (CA) は、発行するすべての SSL/TLS 証明書を公開ログに公開する必要があります。SSL/TLS 証明書には通常、ドメイン名、サブドメイン、および電子メールアドレスが含まれます。したがって、SSL/TLS 証明書は攻撃者の侵入ポイントになります。

現在、Censysツールはインターネット全体をスキャンできます。Censysは、ネットワークに接続されたデバイスに関する情報の検索に使用される新しい検索エンジンです。セキュリティ専門家はこれを使用して実装ソリューションのセキュリティを評価でき、ハッカーはこれを早期検出として使用できます。ターゲットを攻撃し、ターゲットの情報を収集するための強力なツール。Censys 検索エンジンは、インターネット全体をスキャンできます。Censys は、IPv4 アドレス空間を毎日スキャンして、ネットワークに接続されたすべてのデバイスを検索して関連情報を収集し、リソース (デバイス、Web サイト、および証明書)。

xxx.com 証明書の検索クエリパラメータは次のとおりです: parsed.names: xxx.com
有効な証明書のみを表示するためのクエリパラメータは次のとおりです: tags.raw: Trusted
攻撃者は、Censys 上で複数のパラメータの組み合わせを達成できます。単純なブール論理を使用して実行されます。
結合された検索パラメータは次のとおりです: parsed.names: xxx.com および tags.raw: 信頼できる
Censys は、上記の検索条件に一致するすべての標準証明書を表示します。これらの検索結果を 1 つずつ表示します。攻撃者は、[探索] をクリックします。をクリックして、いくつかのツールを含むドロップダウンメニューを開きます。この証明書は何に使用されていますか? > IPv4 ホスト、この時点で、攻撃者には特定の証明書を使用している IPv4 ホストのリストが表示され、実際の元の IP はその中に隠されています。

2.12. ソーシャルワーカー CDN アカウント

カスタマーサービスの女性に連絡して、対象の Web サイト管理者の CDN アカウントを取得する方法を見つけて、CDN 構成から Web サイトの実際の IP を見つけることができます。

2.13. ネットワーク全体をスキャンします (時間がかかりすぎるためお勧めできません。私はまだ使用していません)

まず、apnicから IP セグメントを取得し、次に Zmap を使用して、banner-grabバナーキャプチャ用に開いているポート 80 でホストをスキャンし、最後にhttp-reqホストに xxx.com を書き込みます。

3. 見つかった IP が実際の IP であるかどうかを確認します

実 IP を見つけたら、それを hosts ファイルにバインドして、IP またはドメイン名を使用してターゲットの実サーバーに直接アクセスできるようにします。
https://ip を直接実行して、証明書にバインドされているドメイン名を表示できます。