前置知识:
- 传统访问:访问目标主机 -> 真实服务器IP -> 用户访问域名
- 普通CDN:访问目标主机 -> 真实服务器IP -> CDN节点 -> 用户访问域名
- 带WAF的CDN:访问目标主机 -> 真实服务器IP -> CDN节点(WAF) -> 用户访问域名
国内服务商:
阿里云 百度云 七牛云
又拍云 腾讯云 Ucloud
360 网宿科技 ChinaCache
国外服务商:
CloudFlare StackPath Fastly
Akamai CloudFront Edgecast
CDNetworks Google Cloud CDN
CacheFly Keycdn Udomain CDN77
CDN配置:
加速域名-需要启用加速的域名
子域名获取真实IP,有一些可信度,但不是绝对性的,需要继续测试多个子域名
www.baidu.com加速了
tieba.baidu.com没加速,获得真实IP
baidu.com没加速,获得真实IP
子域名和域名可能在同一IP或同一网段加速区域-需要启用加速的地区
国外访问获取真实IP(需要加速区域没有勾选全球)
使用国外冷门服务器进行访问加速类型-需要启用加速的资源
获得真实IP后查看备案号的地区,看看和真实IP对不对得上
针对腾讯和阿里云的服务器IP优先,需要自己判断
常见方法:
子域名,邮件系统,国外访问,证书查询,APP抓包,网络空间
通过漏洞或泄露获取,扫全网,以量打量,第三方接口查询等
CDN服务-识别&绑定访问
各地ping(出现多个IP即启用CDN服务)
后置:绑定HOST访问解析(参考CDN安全影响)
CDN绕过-主动漏洞&遗留文件
配置加速选项中只加速主域名,导致其他子域名未加速(解析IP可能同IP也可能C段)
fofa 查询IP接口(针对国外CDN厂商)
Ping网站:
aliyun国外请求
使用网络空间&第三方功能集合查询判断
漏洞如:SSRF RCE等
利用漏洞,让对方真实服务器主动出网连接寻找下载,就可得到真实IP遗留文件:配置性的文件,例如PHPINFO类似代码功能
通过访问类似PHPINFO类似调试信息代码,会获取本地IP造成地址泄漏例如”SERVER_ADDR”
CDN绕过-邮件系统
判断条件:发信人是当前域名邮件用户名,邮件系统是作不了CDN的
让他主动给你发:
部署架设的邮件服务器如果向外部用户发送邮件的话,那么邮件头部的源码中会包含此邮件服务器的真实IP地址,有些就不行,没用自己的邮件系统发的就不行,例如有的用的126网易163网易的就不行,因为别人是注册了网易的邮件给你发的,探测的是网易的邮箱IP
常见的邮件触发点:
- RSS订阅
- 邮箱注册、激活
- 邮箱找回密码
- 产品更新的邮件推送
- 某业务执行后发送的邮件通知
- 员工邮箱、邮件管理平台等入口的忘记密码
或者你可以主动给未知邮箱发:需要自己搭建邮件服务器,不能第三方例如QQ,但是没别人给你发好用。
通过发送邮件给个不存在的邮箱地址,因为该用户邮箱不存在,所以发送将失败,并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。
CDN绕过-全网扫描
- 判断CDN加速厂商,先看国内的还是国外的
- 利用厂商去IP库来筛地址网段
- 然后配置,进行范围扫描
FUCK CDN工具的扫描流程:先从IP段去扫描符合开放端口,再从IP去访问看看关键字,将符合结果进行保存
加速厂商查询:
ipip 国外请求
总结
补上蜜罐返回值图片
复现:
Hifish不知道为什么蜜罐打不开,quake要充钱