绕过CDN获取服务器真实IP地址
2022-10-27 08:32:40 Author: 菜鸟学信安(查看原文) 阅读量:29 收藏

CDN(Content Delivery Network)内容分发网络。使用户就近获取所需内容,降低网络拥塞,提高响应速度。

网络空间搜索引擎

分析下网站关键元素信息

  • 域名

  • ip

  • title

  • icp

  • logo

  • body

以佛法为例子,其它引擎用法看文章后面

"sechelper.com"domain="sechelper.com"cert="*.sechelper.com"icon_hash="-614101761"title="至察助安"icp="津ICP备2022002336号"js_md5="82ac3f14327a8b7ba49baa208d4eaa15"body="至察助安"

使用以上搜索语法可以收集到更多域名和IP信息。还可以结合公司地理位置、云厂商、IDC机房等多种因素精准搜索,例如:

asn="37963" && title="至察助安"city="Beijing" && domain="sechelper.com"asn="37963" && body="至察助安"

参考:
什么是 ASN?(https://www.cloudflare.com/zh-cn/learning/network-layer/what-is-an-autonomous-system/)

Shodan

Shodan是世界上第一个互联网连接设备搜索引擎。了解互联网智能如何帮助您做出更好的决策。

更多实例:

https://www.shodan.io/search/filters

https://www.shodan.io/search/examples

FOFA

FOFA 是白帽汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配,例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。

搜索实例

钟馗之眼

ZoomEye 支持对公网开放的 IPv4、IPv6 及域名地址库进行多个端口服务或协议的探测,并整理收集相关返回 banner 数据提供搜索匹配。

ZoomEye 线上采用“覆盖式”更新模式:比如第一次扫描 IP 8.8.8.8 开放了 80 端口,第二次扫描 8.8.8.8 的 80 端口时,如果端口还存活,那么会用第二次扫描的结果覆盖更新第一次的扫描结果;如果第二次扫描时候 80 端口已经关闭,服务不存在,那么第一次扫描的结果不会被更新,时间节点也不会被更新。

搜索

用户在搜索输入框里输入对应关键字符串、语法词(也称为“过滤器”)及相关运算符进行检索。用户输入的关键字符串不区分大小写,在做全词匹配比如字符串里存在空格等字符时请使用引号闭合词组。输入的字符串通过 ZoomEye 搜索引擎分词系统进行分词匹配,分词规则可使用搜索结果页面里“分词”功能帮助测试理解。输入语法词(也称为“过滤器”)后,搜索框提供了智能搜索提示:比如输入“思科”或者“Cisco”在搜索框下拉栏里会显示相关的 app 语法,选中后按“回车”即可进行检索。对于更多的组件指纹可以访问顶栏里的"导航"页面获取。

逻辑运算

地理位置

(注:中国地区资产只对中国IP及手机号码认证用户开放)

** 证书搜索**

** IP及域名信息相关搜索**

指纹相关搜索

时间节点区间搜索

Jarm

Jarm是一个活动的传输层安全性(TLS)服务器指纹识别工具, 详情参考:https://github.com/salesforce/jarm

Dig

Iconhash

Filehash

Censys

Censys帮助组织、个人和研究人员发现并监控互联网上的每台服务器,以减少暴露并提高安全性。

更多实例:

https://search.censys.io/search/examples?resource=hosts

异地PING

站长之家 - 站长工具

国外 - check-host

邮件头

大型公司邮件服务可能是自建的,从服务器内发出的邮件头会带着IP,这个极有可能是目标真实IP地址。foxmail导出邮件使用编辑器打开,可以看到一下内容。

Received: from wfbtxcdk.outbound-mail.sendgrid.net (unknown [159.183.172.209])by mail-m121165.qiye.163.com (HMail) with ESMTP id BF0061E95ECfor <cookun@sechelper.com>; Thu,  8 Sep 2022 08:41:53 +0800 (CST)DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=censys.io;h=content-type:mime-version:subject:from:to:cc;...

邮箱头查看真实IP,确定不是使用的第三方邮箱再看,否则就是浪费时间,使用nslookup查询mx记录

$ nslookup > set q=mx> sechelper.comServer:    127.0.0.53Address:  127.0.0.53#53
Non-authoritative answer:sechelper.com mail exchanger = 10 mx.ym.163.com....

域传送漏洞

DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。

*注意:*DNS配置错误才会出现域传送漏洞,打点时可以使用脚本批量探测。

[email protected]:~$ nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.111.133Starting Nmap 7.80 ( https://nmap.org ) at 2022-09-14 03:45 UTCNmap scan report for 192.168.111.133Host is up (0.00044s latency).
PORT STATE SERVICE53/tcp open domain| dns-zone-transfer: | vulhub.org. SOA ns.vulhub.org. sa.vulhub.org.| vulhub.org. NS ns1.vulhub.org.| vulhub.org. NS ns2.vulhub.org.| admin.vulhub.org. A 10.1.1.4| cdn.vulhub.org. A 10.1.1.3| git.vulhub.org. A 10.1.1.4| ns1.vulhub.org. A 10.0.0.1| ns2.vulhub.org. A 10.0.0.2| sa.vulhub.org. A 10.1.1.2| static.vulhub.org. CNAME www.vulhub.org.| wap.vulhub.org. CNAME www.vulhub.org.| www.vulhub.org. A 10.1.1.1|_vulhub.org. SOA ns.vulhub.org. sa.vulhub.org.
Nmap done: 1 IP address (1 host up) scanned in 17.17 seconds

参考:

  • 域传送漏洞浅析(https://www.freebuf.com/vuls/275451.html)

  • vulhub(https://github.com/vulhub/vulhub/tree/master/dns/dns-zone-transfer)

域名解析历史记录

域名历史解析记录,可以继续使用查出的IP地址反查域名,能够获取更多信息。

viewdns(https://viewdns.info/iphistory/)

  • dnsdb(https://dnsdb.io/zh-cn/)

  • securitytrails(https://securitytrails.com/domain/aliyun.com/dns)

  • virustotal(https://www.virustotal.com/gui/home/search)

  • netcraft(https://searchdns.netcraft.com/?host=aliyun.com)

作者:至察助安Sechelper, 转自FreeBuf.COM

关注公众号后台回复数字 1126 获取 应急响应实战笔记,1127 - ctf工具集合,1230 - 内网工具,3924 - 弱口令爆破工具。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU2NzY5MzI5Ng==&mid=2247493362&idx=1&sn=6dfd0c190cf58ea23e168f52db9987a0&chksm=fc9bfc6dcbec757b19f75664d859d861128fe2ef0a99df4dcc6a6f7f2f11486f5e63b66d48a6#rd
如有侵权请联系:admin#unsafe.sh