繞過CDN查找網站真實IP

 

0x01 驗證是否存在CDN

方法1

很簡單，使用各種多地 ping 的服務，查看對應 IP 地址是否唯一，如果不唯一多半是使用了CDN， 多地 Ping 網站有：

• http://ping.chinaz.com/
• http://ping.aizhan.com/
• http://ce.cloud.360.cn/

方法2

使用 nslookup 進行檢測，原理同上，如果返回域名解析對應多個 IP 地址多半是使用了 CDN。

有 CDN 的示例：

> www.163.com 服務器: public1.114dns.com Address: 114.114.114.114 非權威應答: 名稱: 163.xdwscache.ourglb0.com Addresses: 58.223.164.86 125.75.32.252 Aliases: www.163.com www.163.com.lxdns.com 

無 CDN 的示例：

> xiaix.me 服務器: public1.114dns.com Address: 114.114.114.114 非權威應答: 名稱: xiaix.me Address: 192.3.168.172 

方法3

使用各種工具幫助檢測目標網站是否使用了 CDN，可以參見如下網站：

• http://www.cdnplanet.com/tools/cdnfinder/
• http://www.ipip.net/ip.html

0x02 繞過 CDN 查找網站真實 IP

2.1 查詢歷史DNS記錄

查看 IP 與 域名綁定的歷史記錄，可能會存在使用 CDN 前的記錄，相關查詢網站有：

• https://dnsdb.io/zh-cn/
• https://x.threatbook.cn/
• http://toolbar.netcraft.com/site_report?url=
• http://viewdns.info/

2.2 查詢子域名

畢竟 CDN 還是不便宜的，所以很多站長可能只會對主站或者流量大的子站點做了 CDN，而很多小站子站點又跟主站在同一台服務器或者同一個C段內，此時就可以通過查詢子域名對應的 IP 來輔助查找網站的真實IP。

2.3 利用網站漏洞

這個就沒什么好說的了，目的就是讓目標服務器主動來連接我們，這樣我們就知道其真實IP了，可用的比如XSS盲打，命令執行反彈shell，SSRF等等。

2.4 服務器合法服務主動連接我們

同上一樣的思路就是讓服務器主動連接我們告訴我們它的IP，不過使用的是合法的服務，如RSS郵件訂閱，很多網站都自帶 sendmail，會發郵件給我們，此時查看郵件源碼里面就會包含服務器的真實 IP 了。

2.5 使用國外主機解析域名

國內很多 CDN 廠商因為各種原因只做了國內的線路，而針對國外的線路可能幾乎沒有，此時我們使用國外的主機直接訪問可能就能獲取到真實IP。

2.6 目標敏感文件泄露

也許目標服務器上存在一些泄露的敏感文件中會告訴我們網站的IP，另外就是如 phpinfo之類的探針了。

2.7 從 CDN 入手

無論是用社工還是其他手段，反正是拿到了目標網站管理員在CDN的賬號了，此時就可以自己在CDN的配置中找到網站的真實IP了。

2.8 用 Zmap 掃全網？

這個我沒試過不知道...據說 Zmap 44分鍾掃描全網？

好吧，還是稍微詳細說下吧，比如要找 xiaix.me 網站的真實 IP，我們首先從 apnic 獲取 IP 段，然后使用 Zmap 的 banner-grab 掃描出來 80 端口開放的主機進行 banner 抓取，最后在 http-req 中的 Host 寫 xiaix.me。

大概就這些了吧，其他的什么像 DDoS 把 CDN 流量打光的這種就算了吧，最好還是別干擾到人家網站的正常運轉吧。

---

2017.5.18 補充

上文2.8中提到是基於Banner匹配進行查找的，這方面shodan和zoomeye等網站都可以實現，那么有沒有可以搜索網頁標題、內容的方法，這樣，我就能找到哪些服務器上運行的網站是與我要找的一致，從而能找出真實的服務器IP。在圈子里混，朋友推薦一個新的IOT搜索引擎，跟前面提到的兩個相似，叫fofa，WWW.FOFA.SO，其優點是支持HTML源代碼檢索

舉例：找到www.5173.com的真實IP

使用ping命令，返回信息有"49k6959vz6ea10u8.alicloudsec.com (218.11.3.155)"，這就是使用了CDN服務的信號，顯然是阿里雲。

>ping www.5173.com

正在 Ping 49k6959vz6ea10u8.alicloudsec.com [180.97.163.234] 具有 32 字節的數據:
來自 180.97.163.234 的回復: 字節=32 時間=78ms TTL=43
來自 180.97.163.234 的回復: 字節=32 時間=73ms TTL=43
來自 180.97.163.234 的回復: 字節=32 時間=16ms TTL=43
來自 180.97.163.234 的回復: 字節=32 時間=23ms TTL=43

訪問www.5173.com，源代碼內顯示標題有很特別的內容『網絡游戲交易平台|手游交易|裝備交易|游戲幣交易|帳號交易|點卡充值|代練服務-是國內最權威最安全的游戲交易平台-5173.com』，包含有根域名5173.com，這種title是非常特殊的，用來檢索，就能找到WWW.5173.COM的真實IP

然后在fofa中將這個標題內容作為關鍵詞搜索，使用語法『title="網絡游戲交易平台|手游交易|裝備交易|游戲幣交易|帳號交易|點卡充值|代練服務-是國內最權威最安全的游戲交易平台-5173.com"』

在下面的截屏，包含了www.5173.com的真實IP:

最后，訪問http://180.97.163.234，如果網站可以打開，內容與www.5173.com是一致的，那么這就是真實IP；如果網站不可以打開，有可能這個是CDN，也有可能是一個虛擬主機服務器。使用 ip=="180.97.163.234" 
搜索這個IP上的全部服務和網站，顯示全是5173.com結尾的域名，基本確認這是真實ip，且是5173.com的主要網站服務器。