作者名:白昼安全
主页面链接:
主页传送门
创作初心:
以后赚大钱
座右铭:
不要让时代的悲哀成为你的悲哀
专研方向:
web安全,后渗透技术
每日鸡汤:
现在的样子是你想要的吗?
cdn简单来说就是
通过不同地理位置的缓存来加快访问速度,所以我们有可能访问的网页
不是真实ip提供的网页
那我们渗透目标时如果只给了域名,且目标配置了cdn,我们应该如何绕过cdn从而去找到他的真实ip呢?下面给大家介绍几种方法
一、DNS历史解析记录
相信这种方法很多师傅们也都会
原理如下:
一个网站,它的用户量肯定是由少到多的一个增长,而cdn主要是管理员为了加快网站的访问速度而部署的,所以
网站搭建之初
大概率
是没有cdn的,所以如果能查到这个网站
最早的DNS解析记录,那个解析的结果就有可能是该域名对应的真实ip
推荐几个查询DNS解析记录的在线站点
ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名 (ipchaxun.com)
IP History - ViewDNS.info
https://site.ip138.com/
例:
可以看到最早的解析是2017年的,所以59.57.252.60就有可能是目标的真实ip,但这种方式并不是一定的,同样受查询网站和目标的种种因素影响
二、多地PING/国外PING
原理:
配置cdn需要向cdn厂商购买,如果这个厂商的
cdn节点是只针对国内的,也就是国内用户访问时直接用离你最近的一个节点来解析,此时就是不由目标的真实ip来解析
而此时如果你购买
cdn的厂商没有国外的业务,当你作为一个
国外客户端来访问时,就没有离你最近的节点,也就无法用节点来解析,此时
国外客户端访问的网页就是由真实ip提供的,也就是国外客户端ping目标时,就会拿到真实ip
多地ping是一样的道理,就是范围缩小了一点而已
推荐在线的多地ping站点如下
https://ping.aizhan.com/
https://ping.chinaz.com/
第一个站点只有国内,第二个站点有国外的ping点,而且使用比较稳定
三、边缘业务的子域名
因为cdn收费,所以微信⼩程序,app客户端,旁站,子域名,c段这些边缘业务程序和服务基本都没有配置cdn,而他们一般和主站用的也是同一个服务器或者同一内网环境,拿到边缘业务的真实ip,一样能进一步拿到目标的真实ip
四、证书
cdn基于证书的绕过,在域名的证书上很有可能存在目标的真实ip信息,因为如果目标站点有https证书,并且默认虚拟主机配了https证书,我们就可以找所有目标站点是该https证书的站点
查询证书的在线站点
Censys Search
crt.sh | Certificate Search
查询例子如下:
五、邮箱服务器
注意:cdn是不⽀持邮箱的
如果能找到他的邮箱系统,那么一般是可以拿到它的真实ip的
例子:
北京市人民政府网: www.beijing.gov.cn
北京市公务员电子邮箱系统:https://mail.beijing.gov.cn
可以看到他们的根域都是一样的
1、尝试用DNS历史解析记录查询站点查询第一个目标(主站),会发现结果非常非常多,说明搭建了cdn服务
2、而用DNS历史解析记录查询在线查询第二个目标(邮箱系统),会发现结果只有两三个,而且最新的那个记录就是该域名的真实IP
不要问为什么不放截图,问就是我不敢
这种方法
使用的很多很多,也很好用,很多稍微大点的站点都会配置邮箱服务,只要找到了邮箱服务就相当于绕过了目标配置的cdn
六、Fofa查询网站标题
fofa查询的结果格式大家都知道吧,如下
这个也是一种方法,可以尝试
注意:上面的每种方法都不能说一定能拿到真实ip,中间还要考虑很多因素,这里只简单记录了几种方式,后续我也会积累更多绕过cdn的方式,并且更新在这篇博客中,欢迎收藏下来养养哦
