如何繞過CDN獲取服務器真實IP地址呢

CDN（Content Delivery Network）內容分發(fā)網絡。使用戶就近獲取所需內容，降低網絡擁塞，提高響應速度。

網絡空間搜索引擎

分析下網站關鍵元素信息

域名

ip

title

icp

logo

body

以佛法為例子，其它引擎用法看文章后面

"sechelper.com"
domain="sechelper.com"
cert="*.sechelper.com"
icon_hash="-614101761"
title="至察助安"
icp="津ICP備2022002336號"
js_md5="82ac3f14327a8b7ba49baa208d4eaa15"
body="至察助安"

使用以上搜索語法可以收集到更多域名和IP信息。還可以結合公司地理位置、云廠商、IDC機房等多種因素精準搜索，例如：

asn="37963" && title="至察助安"
city="Beijing" && domain="sechelper.com"
asn="37963" && body="至察助安"

參考：

什么是 ASN？

Shodan

Shodan是世界上第一個互聯網連接設備搜索引擎。了解互聯網智能如何幫助您做出更好的決策。

FOFA

FOFA 是白帽匯推出的一款網絡空間搜索引擎，它通過進行網絡空間測繪，能夠幫助研究人員或者企業(yè)迅速進行網絡資產匹配，例如進行漏洞影響范圍分析、應用分布統計、應用流行度排名統計等。

搜索實例

鐘馗之眼

ZoomEye 支持對公網開放的 IPv4、IPv6 及域名地址庫進行多個端口服務或協議的探測，并整理收集相關返回 banner 數據提供搜索匹配。

ZoomEye 線上采用“覆蓋式”更新模式：比如第一次掃描 IP 8.8.8.8 開放了 80 端口，第二次掃描 8.8.8.8 的 80 端口時，如果端口還存活，那么會用第二次掃描的結果覆蓋更新第一次的掃描結果；如果第二次掃描時候 80 端口已經關閉，服務不存在，那么第一次掃描的結果不會被更新，時間節(jié)點也不會被更新。

搜索

用戶在搜索輸入框里輸入對應關鍵字符串、語法詞(也稱為“過濾器”)及相關運算符進行檢索。用戶輸入的關鍵字符串不區(qū)分大小寫，在做全詞匹配比如字符串里存在空格等字符時請使用引號閉合詞組。輸入的字符串通過 ZoomEye 搜索引擎分詞系統進行分詞匹配，分詞規(guī)則可使用搜索結果頁面里“分詞”功能幫助測試理解。

輸入語法詞(也稱為“過濾器”)后，搜索框提供了智能搜索提示：比如輸入“思科”或者“Cisco”在搜索框下拉欄里會顯示相關的 app 語法，選中后按“回車”即可進行檢索。對于更多的組件指紋可以訪問頂欄里的"導航"頁面獲取。

邏輯運算

地理位置

(注：中國地區(qū)資產只對中國IP及手機號碼認證用戶開放)

** 證書搜索**

** IP及域名信息相關搜索**

指紋相關搜索

時間節(jié)點區(qū)間搜索

Jarm

Jarm是一個活動的傳輸層安全性（TLS）服務器指紋識別工具，

Dig

Iconhash

Filehash

Censys

Censys幫助組織、個人和研究人員發(fā)現并監(jiān)控互聯網上的每臺服務器，以減少暴露并提高安全性。

異地PING

站長之家 - 站長工具

國外 - check-host

郵件頭

大型公司郵件服務可能是自建的，從服務器內發(fā)出的郵件頭會帶著IP，這個極有可能是目標真實IP地址。foxmail導出郵件使用編輯器打開，可以看到一下內容。

Received: from wfbtxcdk.outbound-mail.sendgrid.net (unknown [159.183.172.209])
by mail-m121165.qiye.163.com (HMail) with ESMTP id BF0061E95EC
for ; Thu,  8 Sep 2022 08:41:53 +0800 (CST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=censys.io;
h=content-typesubject:fromcc;
...

郵箱頭查看真實IP，確定不是使用的第三方郵箱再看，否則就是浪費時間，使用nslookup查詢mx記錄

$ nslookup 
> set q=mx
> sechelper.com
Server:    127.0.0.53
Address:  127.0.0.53#53


Non-authoritative answer:
sechelper.com  mail exchanger = 10 mx.ym.163.com.
...

域傳送漏洞

DNS協議支持使用axfr類型的記錄進行區(qū)域傳送，用來解決主從同步的問題。如果管理員在配置DNS服務器的時候沒有限制允許獲取記錄的來源，將會導致DNS域傳送漏洞。

*注意：*DNS配置錯誤才會出現域傳送漏洞，打點時可以使用腳本批量探測。

vulab@sechelper:~$ nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.111.133
Starting Nmap 7.80 ( https://nmap.org ) at 2022-09-14 03:45 UTC
Nmap scan report for 192.168.111.133
Host is up (0.00044s latency).


PORT   STATE SERVICE
53/tcp open  domain
| dns-zone-transfer: 
| vulhub.org.         SOA    ns.vulhub.org. sa.vulhub.org.
| vulhub.org.         NS     ns1.vulhub.org.
| vulhub.org.         NS     ns2.vulhub.org.
| admin.vulhub.org.   A      10.1.1.4
| cdn.vulhub.org.     A      10.1.1.3
| git.vulhub.org.     A      10.1.1.4
| ns1.vulhub.org.     A      10.0.0.1
| ns2.vulhub.org.     A      10.0.0.2
| sa.vulhub.org.      A      10.1.1.2
| static.vulhub.org.  CNAME  www.vulhub.org.
| wap.vulhub.org.     CNAME  www.vulhub.org.
| www.vulhub.org.     A      10.1.1.1
|_vulhub.org.         SOA    ns.vulhub.org. sa.vulhub.org.


Nmap done: 1 IP address (1 host up) scanned in 17.17 seconds

參考：

域傳送漏洞淺析（https://www.freebuf.com/vuls/275451.html）

vulhub（https://github.com/vulhub/vulhub/tree/master/dns/dns-zone-transfer）

域名解析歷史記錄

域名歷史解析記錄，可以繼續(xù)使用查出的IP地址反查域名，能夠獲取更多信息。

viewdns（https://viewdns.info/iphistory/）

dnsdb

securitytrails

virustotal

netcraft






審核編輯：劉清