【转】逆向CDN的各种方式总结

国内民间中小型网站有常见的”360网站卫士”,”百度云加速”,”云盾”,”安全宝”等和国外这类cdn+云WAF的始祖”cloudflare” 以及我国各大部级单位网站和各类大型公司所使用的cdn 例如蓝汛,网宿等等。
CDN的存在导致渗透测试时无法对web服务器进行直接攻击。攻击扫描等也会被cdn自带的waf拦截。是任何hacker在渗透时的一大阻碍(个别人会直接攻击篡改CDN，这时CDN反而成为入口，这种情况这里不讲，以后讲)。
可以将CDN简单的理解为 web服务器的一层外强中干的堡垒，因为其保护作用只能起到表层，一旦被攻击者获取服务器的真实ip CDN则由铠甲变为皇帝的新装。
所以讲了这么多废话，要进入正文了，总结一下各种逆向cdn查找源IP的方式。

第一种:SMTP发送邮件泄露源站ip
最简单，常见的方式。大部分公用SMTP服务在发信时邮件头会带上发件者ip，这样导致cdn直接失去对攻击者的防护意义。
这里用hack80.com来举个例子，通过多地ping出现的多个ip 可以推断他部署了cdn类服务【转】逆向CDN的各种方式总结

【转】逆向CDN的各种方式总结 disucz论坛，我们可以通过注册账号或者找回密码等任何可以让网站发送一个邮件给我们的方式来获取源ip
这里我找回密码举例提交后，去我的邮箱中，查看该邮件原文
即可获得web服务器的源ip。具体获得源ip后怎么利用在文末一起总结
解决方案:使用邮件头不显示ip的smtp服务，或者将邮件服务更改为使用WEBAPI发送邮件即可。
第二种:子域名与目标域名在一个服务器却没做cdn
这种情况也很常见。有些粗心大意的站长只把自己的主要业务域名部署了cdn，而在一个服务器的子域名却不部署。
这样导致黑客只需要获取一份子域名列表挨个对子域名的ip与目标域名相匹配，直到访问成功即可
【转】逆向CDN的各种方式总结
这里我用的是seay法师大牛的layer子域名爆破程序，很好用。论坛内有下载地址。需要的可以去看一下
这个方式是很简单且很通用的思路。也可以用域传送漏洞，同理
解决方案：细心部署，避免子域名裸奔
第三种:泄露IP的程序
这个也很简单，扫描目标web目录获取一个phpinfo 探针类文件，基本上都存有服务器真实ip
在phpinfo里对应项为【转】逆向CDN的各种方式总结
该方法没有什么特别多需要介绍的。

解决方案：删除敏感文件
第四种:域名历史解析ip
也是一种比较可行的方案，目前国内提供该服务的网站有ip138等，国外有一个更准确，但是我想不起了

一般网站从部署开始到使用cdn都有一个过程，周期如果较长的话则可以通过这类历史解析记录查询等方式获取源站ip。
为避免出现误差，可以将所有历史ip采集下来挨个与当前域名匹配。
这种方案受限于解析变更极少，CDN部署很早。或者域名收录量太低等几种情况

解决方案:cdn部署尽早？减少解析次数？
第五种：ddos
说真的这个方式我不知道写在这里好不好，这个帖子里所写的方式只有这一种我没成功过
但是很多大牛都说曾实现过，作为方法收录。我也就记载进来了
据传(因为本人能力有限并未成功复现过): 免费cdn在受到的攻击超过自己所承受的防御时则会将域名回源
但是按本人理解 ddos攻击域名时cdn商并没有很好的办法(二分法属于一种，但是并不能做到百分百)可以判断出是具体哪个域名遭到了攻击。所以本人认为该方案可行性很低
但不排除cdn会将该cdn上部署的所有域名全回源了。
有流量的各位可以试一下百度云加速和云盾免费版都是防御5GB/S流量，看看超过了到底能不能让域名回源。

解决方案：换靠谱的cdn。
第六种：SSRF
乌云峰会的时候猪猪侠曾讲过”SSRF是只影响有钱人的漏洞” 但在渗透测试的时候我们的目标并不是个个都是有钱人有BAT他们那样大的内网
我们只是简单的想取一个源站ip，这时候SSRF也能帮我们一把
以discuz举例 (DZ官方似乎并不把SSRF当漏洞,所以该方案可行度很高)
我们这里用春秋论坛做例子，discuz ssrf的exp为(回复可见):