[TOC]
0x00 验证CDN站点
如何验证站点是否存在CDN最简单的办法如下:
方法一: 描述: 使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN,多地 Ping 网站有:
- http://ping.chinaz.com/
- http://ping.aizhan.com/
- http://ce.cloud.360.cn/
方法二: 描述:使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。
WeiyiGeek.CDN验证
注意事项:
- dig工具可以从该域名的官方DNS服务器上查询到精确的权威解答,而nslookup只会得到DNS解析服务器保存在Cache中的非权威解答。
- 对于一些采用了分布式服务器和CDN技术的大型网站,使用NSlookup 查询到的结果往往会和dig命令查询到的结果不同。
方法三: 描述: 一般做了CDN的网站会有CNAME域名解析记录,我们可以使用各种工具帮助检测目标网站是否使用了CDN可以参见如下网站
- http://www.cdnplanet.com/tools/cdnfinder/
- http://www.ipip.net/ip.html
WeiyiGeek.DNSDataView
0x01 查询网站真实IP
1.先查一下分站的域名地址 有些cdn的服务实在是太昂贵,很多情况是主站使用了 CDN 而分站没有使用,这时候我们就可以通过子域名来get到真实的ip地址。
2.大部分CDN提供商只针对国内市场 而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP。其实这个方法根本不用上国外vpn,因为你上国外vpn的ping本质,就是使用国外dns(那台vpn服务器使用的dns)查询域名而已,所以只需要:nslookup xxx.com 国外dns,就行了,例如:nslookup xxx.com 8.8.8.8,提示:你要找冷门国外DNS才行,像谷歌的DNS,国内用的人越来越多了,很多CDN提供商都把谷歌DNS作为国内市场之一,所以,你查到的结果会和国内差不了多少 (核总的原话)
3.ping 命令这样写 ping xxx.com 而不是 ping www.xxx.com ping xxx.com一般都会是真实IP,因为了解到现有很多CDN厂商基本只要求把 www.xxx.com cname到cdn主服务器上去。 www.xxx.com 和 xxx.com是两条独立的解析记录,一般只会把 www.xxx.com 做 CDN
4.看历史纪录 指的是查找域名历史解析记录,因为域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址。 有个专门的网站提供域名解析历史记录查询:
- http://www.17ce.com
- http://toolbar.netcraft.com/site_report?url=www.xxx.com
- https://dnsdb.io/zh-cn/
- https://x.threatbook.cn/
经过验证: https://x.threatbook.cn/ 才能查询DNS解析历史记录,而且太早期的也没有;
WeiyiGeek.DNC解析历史
5.phpinfo 剑心说过在进行渗透扫描的时候, phpinfo();之类的探针看你路径字典强度.很容易跑出来的.
6.有的服务器本地自带sendmail与mx记录查询 注册之后会主动发一封邮件给我们。通过邮件发送地址往往也能得到服务器IP,当然这个IP也要验证是否为主站的,可以通过常看网页源代码看到IP(也有可能采用的是腾讯或阿里云的企业服务器-那您就换一条路把)。 有的大型互联网网站会有自己的Mailserver,应该也是处在一个网段,那个网段打开80的一个一个试。
WeiyiGeek.邮箱地址
7.rss 订阅一般也会得到真实的IP地址
8: xss 漏洞(存储类型-还需等待生效时间) 同6:是让服务器主动连接我们的一种方式.
9.DDOS(基本上不现实) DDOS耗尽CDN流量、那么就会回源,这样就能得到真实IP不设防的cdn 量大就会挂,高防cdn 要增大流量。
10.社会工程学 比如勾搭卖这CDN的客服妹子,他们可能有权限或者查看域名注册方的一些信息如电话啊、邮件地址啊、姓名啊, 有时候会有些人注册一堆域名可以尝试从这些突破
11.全网扫描 Zmap号称44分钟扫完-全网我们首先从 apnic 获取 IP 段,然后使用 Zmap 的 banner-grab 扫描出来 80 端口开放的主机进行 banner 抓取,最后在 http-req 中的 Host 写 xiaix.me』(其中xiaix.me是需要寻找真实IP的域名)。说到这个,我就想起了shodan,zoomeye。虽然他们都很强大地能够搜索到全球的IP banner信息,http的banner信息,但是却不能搜索网页代码。
13.根据HTML代码进行搜索 友推荐一个新的IOT搜索引擎,跟前面提到的两个相似,叫FOFA / 钟馗之眼,这个东西优点是支持HTML源代码检索;
https://fofa.so/
代码语言:javascript复制#搜索CND网站的关键字
title="xxxxxx-xxxx.com"
WeiyiGeek.fofa.so
0x02 CND 安全
CDN存在中间人攻击的隐患吗? 比如Cloudflare连接用Cloudflare CDN的网站可以看到SSL证书是Cloudflare的证书,所以Cloudflare可以看到所有来往信息。万一Cloudflare CDN服务器安全出问题了,或者Cloudflare本身有一些监控手段,是否意味着存在中间人攻击的安全隐患?
虽然一般CDN提供商不会监控传输的一些敏感信息,但是信任并不代表CDN服务器不会出问题!
CDN安全隐患肯定存在,服务器的私钥都上传到了CDN服务器上,如果被攻击者获取到并利用私钥进行下面的操作;
- 看到双向的加密流量、解密的明文流量。
- 监控双向进出的流量、甚至修改、替换、删除、注入报文,通信的双方都可能无法检测到报文已经被恶意篡改的事实。
由于安全防护不足,CDN服务器沦陷了,同时沦陷的还有客户服务器证书的私钥,看看这个私钥能干掉啥有意义的事?
RSA密钥交换算法: 使用RSA公钥算法分发的将可以使用私钥来进行
- 解密现在、将来的加密流量,还可以解密历史上的所有的加密流量;
DHE密钥交换算法: 证书的私钥只负责认证这一块,而DHE才负责双方密钥的分发。所以即使私钥泄露了,用私钥也无法从历史流量里还原出“Pre-master Key”。
因为攻陷了CDN服务器,所有RSA私钥、DHE私钥,解密解密流量就如同吃哈密瓜一样轻松容易