越來越多的網站使用CDN加速服務,CDN不僅能提高網站的訪問速度,而且能隱藏服務器真實IP,這對滲透工程師來說無疑增加了滲透的難度。
這篇博客主要介紹幾種查找網站服務器真實IP的方法,若有不足之處,歡迎大佬補充。
第1種:歷史解析記錄
以wangm.fun網站為例。通過查詢發現該網站在2019年4月14日至2019年6月8日期間的DNS解析記錄為58.218.205.93,而從2019年6月8日開始,網站被解析到Cloudflare CDN節點上。
因此有理由懷疑:wangm.fun網站的真實服務器IP為58.218.205.93,但還需進一步驗證。
驗證方法為:修改本機hosts文件,將wangm.fun解析到58.218.205.93並清除本地DNS緩存,如果此時wangm.fun網站依然能夠正常訪問,則說明該IP地址確實是網站服務器真實IP。
常用的查詢域名歷史DNS解析記錄的網站有兩個:微步在線(https://x.threatbook.cn/)和國外的一個網站(https://securitytrails.com/)。
第2種:子域名
以zorz.cc為例。通過查詢發現子域名files.zorz.cc在2018年10月27日至2018年12月1日期間被解析到13.115.6.32,而從2018年12月1日開始,該子域名被解析到Cloudflare CDN節點上。
因此有理由懷疑:主站www.zorz.cc也被解析到13.115.6.32,驗證方法和上面說的一樣。
第3種:https證書
以threatbook.cn為例。通過查詢發現有多台服務器部署了*.threatbook.cn的https證書。
以搜索結果中的某個證書為例,繼續搜索使用該證書的IPv4主機。09b0ff1f2fcc2f3e7a3e8d3b01d023f1470f74e7是該證書的SHA-1哈希值。可以看到有11台服務器部署了SHA-1哈希為09b0ff1f2fcc2f3e7a3e8d3b01d023f1470f74e7的https證書,因此有理由懷疑:這些服務器IP是threatbook.cn及其子域名的真實IP。
第4種:發送郵件
有的網站在用戶注冊后、訂閱后會發送一封郵件到你的郵箱,例如:網站使用PHPMailer + QQ郵箱的方式發送郵件,那么在郵件頭中會暴露郵件發送方的IP地址。
第5種:網絡空間搜索引擎
直接在ZoomEye、Fofa、shodan、censys等網絡空間搜索引擎中搜索域名即可找到與此域名相關的服務器。
根據我的經驗,這種方法找到網站真實IP的概率較小,但也有一些成功的案例。
第6種:利用SSRF漏洞
某網站存在SSRF漏洞,訪問http://www.abc123.com/getImg.php?url=http://www.google.com/1234.jpg這樣的鏈接時,網站服務器會自動請求http://www.google.com/1234.jpg,導致網站服務器IP暴露。
第7種:phpinfo頁面
有些網站存在類似info.php的文件,訪問phpinfo頁面即可獲知網站真實IP。