「2019」CDN源站真實IP查找跟蹤方式總結

繞過 CDN 尋找真實 IP 地址的各種姿勢

個人覺得，繞過 CDN 去尋找主機的真實 ip，更容易能尋找到企業網路的薄弱地帶，所以 Bypass CDN 也就變成了至關重要的一點。

0x01 常見 Bypass 方法

域名搜集

由於成本問題，可能某些廠商並不會將所有的子域名都部署 CDN，所以如果我們能盡量的搜集子域名，或許可以找到一些沒有部署 CDN 的子域名，拿到某些伺服器的真實 ip/ 段
然後關於子域名搜集的方式很多，就不一一介紹了，我平時主要是從這幾個方面搜集子域名：

1、SSL 證書
2、爆破
3、Google Hacking
4、同郵箱註冊人
4、DNS 域傳送
5、頁面 JS 搜集
6、網路空間引擎

工具也有很多厲害的，平時我一般使用 OneForALL + ESD + JSfinder 來進行搜集，（ESD 可以載入 layer 的字典，很好用）

查詢 DNS 歷史解析記錄

常常伺服器在解析到 CDN 服務前，會解析真實 ip，如果歷史未刪除，就可能找到
常用網站：

http://viewdns.info/
https://x.threatbook.cn/
http://www.17ce.com/
https://dnsdb.io/zh-cn/
https://securitytrails.com/
http://www.ip138.com/
https://github.com/vincentcox/bypass-firewalls-by-DNS-history

MX 記錄（郵件探測）

這個很簡單，如果目標系統有發件功能，通常在註冊用戶/找回密碼等地方，通過註冊確認、驗證碼等系統發來的郵件進行查看郵件原文即可查看發件IP地址。
SSL 證書探測
我們可以利用空間引擎進行 SSL 證書探測
443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:www.baidu.com
再放一個搜集證書的網站:

https://crt.sh
一個小腳本，可以快速搜集證書

「最後」的Bypass CDN 查找網站真實IP

註：其實與第一篇有重複的的地方，請自行斟酌查看。

0x00起源~

查找網站真實IP過程中我們會經常用到一些Bypass CDN的手法，而Bypass CDN的常見姿勢，之前看到過「信安之路」的某位大佬總結的挺好的，於是和小夥伴們又專門的去學習了一波，然後決定將學習心得歸結於文字，以便於記錄和複習。

0x01判斷是否存在CDN

查找網站真實IP的第一步是先查看當前站點是否部署了CDN，而較為簡單快捷的方式就是通過本地Nslookup查詢目標站點的DNS記錄，若存在CDN，則返回CDN伺服器的地址，若不存在CDN,則返回的單個IP地址，我們認為它就是目標站點的真實IP。
除了使用nslookup，還可以通過第三方站點的DNS解析記錄或者多地ping的方式去判斷是否存在CDN。判斷CDN只是個開始，不加贅述。。。

小夥伴-胡大毛的www法
以前用CDN的時候有個習慣，只讓WWW域名使用cdn，禿域名不適用，為的是在維護網站時更方便，不用等cdn緩存。所以試著把目標網站的www去掉，ping一下看ip是不是變了，您別說，這個方法還真是屢用不爽。

小夥伴-劉正經的二級域名法
目標站點一般不會把所有的二級域名放cdn上，比如試驗性質的二級域名。Google site一下目標的域名，看有沒有二級域名出現，挨個排查，確定了沒使用cdn的二級域名後，本地將目標域名綁定到同ip，能訪問就說明目標站與此二級域名在同一個伺服器上。不在同一伺服器也可能在同C段，掃描C段所有開80埠的ip，挨個試。如果google搜不到也不代表沒有，我們拿常見的二級域名構造一個字典，猜出它的二級域名。比如mail、cache、img。

查詢子域名工具：layer子域名挖掘機 subdomin
掃描c段好用工具：zmap(https://www.cnblogs.com/China-Waukee/p/9596790.html)
還是「劉正經」的nslookup法
查詢域名的NS記錄，其域名記錄中的MX記錄，TXT記錄等很有可能指向的是真實ip或同C段伺服器。
註：域名解析--什麼是A記錄、別名記錄(CNAME)、MX記錄、TXT記錄、NS記錄（https://www.22.cn/help_34.html）

小夥伴-胡小毛的工具法
這個工具http://toolbar.netcraft.com據說會記錄網站的ip變化情況，通過目標網站的歷史ip地址就可以找到真實ip。沒親自測試，想必不是所有的網站都能查到。
例：http://toolbar.netcraft.com/site_report?url=http://www.waitalone.cn

小夥伴-狄弟弟的目標敏感文件泄露
也許目標伺服器上存在一些泄露的敏感文件中會告訴我們網站的IP,另外就是如phpinfo之類的探針。

小夥伴-匿名H的牆外法
很多國內的CDN沒有節點對國外服務，國外的請求會直接指向真實ip。有人說用國外NS和或開國外VPN，但這樣成功率太低了。我的方法是用國外的多節點ping工具，例如just-ping，全世界幾十個節點ping目標域名，很有可能找到真實ip。
域名：http://www.just-ping.com/

小夥伴-不靠譜的從CDN入手法
無論是用社工還是其他手段，反正是拿到了目標網站管理員在CDN的賬號了，此時就可以自己在CDN的配置中找到網站的真實IP了。此法著實適用於「小夥伴-不靠譜」使用。

還是「不靠譜」的釣魚法
不管網站怎麼CDN，其向用戶發的郵件一般都是從自己伺服器發出來的。以wordpress為例，假如我要報復一個來我這搗亂的壞蛋，壞蛋使用了 CDN，我要找到它的真實ip以便DDOS他。我的方法是在他博客上留言，再自己換個名回復自己，然後收到他的留言提醒郵件，就能知道發郵件的伺服器ip 了。如果他沒開提醒功能，那就試試他是不是開啟了註冊功能，wordpress默認是用郵件方式發密碼的。

0x03「最後」的總結
小夥伴「最後」來了一波總結：

百因必有果，你的報應就是我~o~

萬劍歸宗不是火，萬法合一才是果~o~

小夥伴們總結了一波又一波方法，「最後」表示不太行，方法很多，每一個看起來都很實用，但實戰告訴我們，只有把這些方法都靈活貫通的結合使用才能達到最大的效果。「最後」以胡大毛的www法結合查找網站歷史DNS解析記錄的方法查找某個站點的真實IP的舉例如下：

某站點www.xxx.com的當前解析顯示有多個IP，但歷史解析僅有一個IP，可以猜測該IP可能是真實IP。

「最後」認為除了需要將方法結合使用之外，輔助工具也是不可缺少的，於是又整理了一波常用的工具和查詢平台如下：

1、查詢SSL證書或歷史DNS記錄

https://censys.io/certificates/   ###通過SSL證書查詢真實IP（推薦）

https://site.ip138.com/   ###DNS、IP等查詢

http://ping.chinaz.com/   ###多地ping

http://ping.aizhan.com/   ###多地ping

https://myssl.com/dns_check.html#dns_check   ###DNS查詢

https://securitytrails.com/   ### DNS查詢

https://dnsdb.io/zh-cn/    ###DNS查詢

https://x.threatbook.cn/   ###微步在線

http://toolbar.netcraft.com/site_report?url=   ###在線域名信息查詢

http://viewdns.info/   ###DNS、IP等查詢

https://tools.ipip.net/cdn.php   ###CDN查 詢IP

2、相關工具

子域名查詢工具：layer子域名挖掘機，dirbrute，Oneforal（下載鏈接：https://github.com/shmilylty/OneForAll，推薦）

站點banner信息獲取：Zmap，masscan等。

參考鏈接
https://github.com/shmilylty/OneForAll

https://github.com/FeeiCN/ESD

https://github.com/Threezh1/JSFinder

https://github.com/AI0TSec/blog/issues/8

https://www.4hou.com/tools/8251.html

https://www.freebuf.com/sectool/112583.html