雲防護當道，如何繞過雲防護來進行滲透測試

一、前言

    本文旨在相互交流學習，建議滲透測試前得到用戶許可，再進行。筆者不承擔任務法律責任。

二、背景說明

     Twitter上反gong黑客每三天一次發布一條攻陷內地某某單位的門戶網站，或者內部應用系統的推文，加上6月1日我國開始施行《網絡安全法》，其中第二十一條明確規定：

國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；

（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；

（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，並按照規定留存相關的網絡日志不少於六個月；

（四）采取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

這使得越來越多的單位開始重視放在互聯網上的應用系統安全。

      采購傳統WAF來解決是一種有效的辦法，但是隨着硬件設備的添加，或增加單位日常運維成本，或改變單位內部的網絡結構，耗時耗力不少，費用也挺高。

      不少廠家為解決上述痛點，開始采用SaaS（Sofeware as a Service）模式的雲防護的辦法，0部署，0維護，畢竟雲計算也是當下的一個熱點（大雲物移嘛）。

 

三、雲防護的原理

      市面上提供雲防護產品的廠家很多，安恆的玄武盾（硬廣告還是要植入一波）、知道創宇、上海雲盾，BAT中當屬阿里最早開始投入阿里雲盾（為了這個雲盾品牌的所有權，中間好像也有一個插曲，這里不做展開了），百度好像也是最近幾年剛開始推百度雲。

      簡單說下雲防護的工作原理：廠家基本都是將用戶的域名解析指向到自己的雲防護節點上，或者干脆直接采用廠家的DNS解析服務，通過自己的高防雲服務器來為用戶提供安全防護。雲防護節點則部署在各地CDN節點上。

 

四、繞過CDN節點，查看域名真實IP

      那么重點來了，如何繞過CDN節點，來查看域名真實IP呢？

      網上方法很多，freebuf上也有比較多的文章（比如 http://www.freebuf.com/articles/web/41533.html  實例繞過），筆者這邊推薦一些在線檢測的辦法

      說在前面的話：在線工具也是通過后台服務器去爬取域名的歷史信息，因而網站一上線就采用雲防護，或者網站比較早，當時沒有抓取到信息，那么這些工具也就無能為力了。

     1、www.netcraft.com

     這個老外的網站，在截圖所示位置只需要輸入你需要查找的域名，就可以列出域名的背景信息，whois信息、歷史服務器IP信息，域名采用什么前端語言編寫等等信息。

     當然這個網站的作用可遠遠不止於此，筆者也一直在學習CEH的課程（進度略慢），里面也提及了這個工具來做一些信息收集的任務。

     

 

 

      2、https://www.t00ls.net/domain.html

      國內筆者找到的在線工具是tools的域名信息查詢功能。它不僅可以幫你查出主域名的一些相關信息，也可以查詢出子域名的信息，畢竟用戶單位不一定會將所有的子域名進行防護，同時也能查詢出采用了哪家的雲防護產品等信息。

 

      3、另外再轉發一些方法：

    驗證是否存在CDN最簡單的辦法
        通過在線的多地ping，通過每個地區ping的結果得到IP。
        看這些IP是否一致，如果都是一樣的，極大可能不存在cdn,但不絕對。
        如果這些IP大多數都不太一樣或者規律性很強，可以嘗試查詢這些IP的歸屬地，判斷是否存在CDN。
    驗證IP和域名是否真實對應最簡單的辦法
        修改本地hosts文件，強行將域名與IP解析對應。
        然后訪問域名查看頁面是否變化。
    ping
        假設如下存在cdn ----> ping www.sysorem.xyz
        可以嘗試ping sysorem.xyz，很多廠商可能讓www使用cdn，空域名不是有cdn緩存。
        所以直接ping sysorem.xyz可能就能得到真實IP。
    分站域名
        很多網站主站的訪問量會比較大，所以往往主站都掛着cdn的。
        但是分站就不一定了，畢竟cdn要錢，而且也不便宜。
        所以可能一些分站就沒有掛着cdn，所以有時候可以嘗試通過查看分站IP。
        可能是同個IP或者同個站都是沒准的。
    國外訪問
        國內的CDN往往只會針對國內用戶訪問加速。
        所以國外就不一定了。因此通過國外代理訪問就能查看真實IP了。
        或者通過國外的DNS解析，可能就能得到真實的IP。
    MX及郵件
        mx記錄查詢，一般會是C段。
        一些網提供注冊服務，可能會驗證郵件，還有RSS訂閱郵件，忘記密碼等
        可能服務器本身自帶sendmail可以直接發送郵件，當然使用第三方的除外（如網易，騰訊等）
        當然這個IP也要驗證是否為主站的
        web版的郵件管理，可以通過常看網頁源代碼看到IP

 

五、繞過節點進行安全滲透測試

       在得知域名的真實IP之后，我們就可以在hosts文件中綁定域名、IP信息，就可以繞過雲防護節點直接訪問源了，接下來就是常規模式了。

 

PS：第四章第三節，筆者轉發網上其他作者，如侵犯到你著作權，請聯系我刪除。