尋找隱藏在CloudFlare和Tor後的真實IP
在滲透測試時,我們經常會遇到目標處於CloudFlare或其他cdn服務之後,使我們無法發現原始伺服器IP,難以使用某些滲透手段。但是,這類網站一旦出現設置不當,就有可能暴露真實IP。而一旦我們獲得了真實IP,自然就可以對這些網站進行暴力破解,DDoS攻擊等等。注意,隱藏Tor後的網站也有這種風險。以下將介紹幾種發掘網站真實IP的方法,希望大家能針對性地使用。
1.SSL證書
1.1 使用給定的域名
假設你有一個網站,域名為xyz123boot.com,伺服器真實IP是136.23.63.44。CloudFlare為網站提供DDoS保護,Web防火牆和其他一些安全服務。你的Web伺服器支持SSL並有證書,因此CloudFlare與你的伺服器之間的通信就像你的網站用戶和CloudFlare之間的通信一樣加密(即SSL不夠靈活)。乍一看,好像沒什麼問題。
但是,此時,真實IP的443埠(https://136.23.63.44:443)的證書會直接暴露在互聯網上。若對全球IP的443埠進行掃描,就能在某個IP的443埠上獲取涉及 xyz123boot.com 的有效證書,而這個IP就可以說是伺服器的真實IP。
很多網路搜索引擎可以收錄證書信息。你唯一需要做的就是將網站域名的關鍵詞進行搜索。
例如,對於Censys網路搜索引擎,http://xyz123boot.com的證書的搜索語句如下:
parsed.names: xyz123boot.com
只顯示有效的證書:
tags.raw: trusted
在Censys上對這些搜索條件進行布爾組合即可。
最後搜索語句:
parsed.names: xyz123boot.com and tags.raw: trusted
逐個單擊搜索結果,你可以在詳情頁面右側的「瀏覽」中發現多個工具,然後我們點擊Whats using this certificate? > IPv4 Hosts。
這時你可以看到使用這個證書的所有IPv4主機列表。其中某個就可能是真實IP。
最後,你可以直接導航到某個IP的443埠進行驗證,看它是否重定向到xyz123boot.com?或者是否會直接顯示網站?
1.2 通過給定的證書
你是聯邦調查局,想關閉一個在暗網中的cheesecp5vaogohv.onion域名的色情網站。那麼你就必須要原始IP,這樣才能找到主機,找到運營商,最後找到伺服器所有者。
此時,利用網路搜索引擎,我們可以查找使用相同SSL證書的IPv4主機,只需將其SHA1指紋(沒有冒號)粘貼到Censys IPv4主機搜索中即可。不是所有伺服器的SSL都配置嚴謹。
2.DNS記錄
也許你的網站在使用CloudFlare之前曾短暫將真實IP暴露於公網。此時,如果Censys的DNS記錄有你的網站的A記錄,就會暴露你的網站的真實IP。
有一個專門用於查詢域名記錄的網站SecurityTrails。只需在搜索欄位中輸入網站域名,然後按Enter鍵即可。你就能在「歷史數據」中找到驚喜。
除了以前的A記錄,即使是當前的DNS記錄也可能泄漏真實IP。例如,MX記錄,即郵件交換記錄。如果郵件伺服器和目標網站在同一個伺服器上,則真實IP可能存在於MX記錄中。
3.HTTP頭
通過網路搜索引擎,你甚至可以通過比較HTTP頭來查找原始IP。
特別是當目標網站有一個非常獨特的伺服器請求頭以及網站所使用的各種軟體及其版本時,都能大大減輕查詢的難度。
而且正如1.1節中所述,您可以在Censys上組合查詢參數進行搜索。再配合一些其他信息,就能快速定位到網站。
假設你的伺服器的請求頭組成大致和1500個其他Web伺服器的請求頭相同,你的網站還使用一個新的PHP框架,這也是很獨特的HTTP標頭(例如:X-Generated-Via:XYZ fr amework),目前約有400名網站使用該框架。就這樣不停比對,運氣好的情況下,很快就能找到真實IP。
例如,Censys上涉及伺服器請求頭的搜索參數是
80.http.get.headers.server:
查找使用了CloudFlare服務的網站的語句如下:
80.http.get.headers.server: cloudflare
4.應用和服務
網站本身的很多功能可能並不完善,包括完整網站所使用的開源軟體包,自編寫的代碼等都有可能存在某些「輕微」的漏洞,例如,報錯信息不規範等。而這些信息就很有可能縮小我們的搜索範圍。
此外,即使是正常的網站服務,也有可能為我們所用。例如你需要在目標網站上設置一個頭像,而且是通過提供圖片URL的方式(不是上傳圖片)。那麼目標網站可能主動從其他網站下載圖片,如果你控制著放置圖片的網站。那麼目標的真實IP就在日誌中。
最重要的就是多多嘗試,網站管理員可能會犯很多錯誤。
5.內容
在某些情況下,直接訪問目標伺服器IP也會返回網站內容。那麼,問題就簡單了,網路搜索引擎能幫我們大忙。
在網站的源代碼中,很可能存在獨特的代碼片段,以及很多第三方服務的痕跡(例如Google Analytics,reCAPTCHA)。
例如,HackTheBox網站的Google Analytics Tracking代碼如下:
ga(create, UA-93577176-1, auto);
通過使用80.http.get.body:參數,我們就可以在Censys的數據中搜索出對應的網站。
當然,普通的搜索欄位是有侷限性。您可以在Censys上請求研究訪問許可權,這樣就可以通過Google BigQuery進行更強大的查詢。
而在另一款網路搜索產品Shodan中,我們也可以根據http.html搜索參數進行相同的查詢。
示例如下:
https://www.shodan.io/search?query=http.html%3AUA-32023260-1
後記
要找到隱藏在Tor或CloudFlare後面的原始IP需要一定的創造力。
在這裡推薦x0rz所寫的Securing a Web Hidden Service,裡面介紹了不少安全隱藏自己網站的方法,同時也說明一旦網站管理者出現疏忽,就會出大事。
當然,目前CloudFlare也有很多措施來防禦。例如,建立CloudFlare和伺服器之間的單獨隧道。這意味著管理員不必在公網公開網站。還有使用白名單機制,禁止其他IP連接上網站。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:尋找隱藏在CloudFlare和Tor後的真實IP|NOSEC安全訊息平臺 - NOSEC.ORG
原文:https://www.secjuice.com/finding-real-ips-of-origin-servers-behind-cloudflare-or-tor/
白帽匯從事信息安全,專註於安全大數據、企業威脅情報。
公司產品:FOFA-網路空間安全搜索引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。
推薦閱讀:
