绕过CDN找到⽬标站点真实IP

一、判断目标网站是否使用CDN

在渗透测试中，如果连真实 IP 都没有找到的话，相当于连门都没有找到。所以，如何验证目标网站是否使用了 CDN 呢？

1.多地 ping 法（一般情况下使用多地 ping 就可以检测出来）：

站长之家ping检测：http://ping.chinaz.com/

爱站网ping检测：https://ping.aizhan.com/

 

我们可以看到，在各个地方进行 ping 云南大学的网址，响应 IP 都是相同的，所以并没有使用 CDN。

 

当我们 ping 另一个网址时，发现在不同地点响应 IP 不同，说明它使用了 CDN。

 

 

2.nslookup

我们在 Kali 中用 nslookup URL 命令，也可以进行验证

 

3.使用工具检测，如 CDN Finder。

 

二、绕过 CDN 找到真实 IP 地址的方法

1、DNS历史解析记录

​ 查询域名的历史解析记录，可能会找到网站使用CDN前的解析记录，从而获取真实ip，相关查询的网站有：

iphistory：https://viewdns.info/iphistory/

DNS查询：（https://dnsdb.io/zh-cn/）

微步在线：（https://x.threatbook.cn/）

域名查询：（https://site.ip138.com/）

DNS历史查询：（https://securitytrails.com/）

Netcraft：https://sitereport.netcraft.com/?url=github.com

IP History 查询记录：

 

2、查找子域名

很多时候，一些重要的站点会做CDN，而一些子域名站点并没有加入CDN，而且跟主站在同一个C段内，这时候，就可以通过查找子域名来查找网站的真实IP。

常用的子域名查找方法和工具：

1、搜索引擎查询：如Google、baidu、Bing等传统搜索引擎，site:baidu.com inurl:baidu.com，搜target.com公司名字。

2、一些在线查询工具，如：

http://tool.chinaz.com/subdomain/

http://i.links.cn/subdomain/    

http://subdomain.chaxun.la/

http://searchdns.netcraft.com/

https://www.virustotal.com/

3、 子域名爆破工具

Layer子域名挖掘机

wydomain：https://github.com/ring04h/wydomain    

subDomainsBrute:https://github.com/lijiejie/

Sublist3r:https://github.com/aboul3la/Sublist3r

 

3、网站邮件头信息

⽐如注册的时候会有注册连接发送到我们的邮件，然后查看邮件原文就可以了。如果是⼤站，会有⾃⼰的邮服给你发送，那么这个邮服的有可能跟⽬标 Web在⼀个段上，我们直接⼀个⼀个扫，看返回的 HTML 源代码是否跟 web 的对的上，比如我在注册一个论坛的时候，它给我发了地址验证邮件，查看该邮件的原文，即可看到其真实 IP，如图

 

4、网络空间安全引擎搜索

通过关键字或网站域名，就可以找出被收录的IP，很多时候获取到的就是网站的真实IP。

钟馗之眼：https://www.zoomeye.org

Shodan：https://www.shodan.io

Fofa：https://fofa.so

例如：如果知道一个有 CDN 防护的域名，在 fofa 上可以直接找到它的真实 IP，也可以根据网站的标题进行检索。如图，中国网络游戏服务网，他的标题

就很特别。

我们可以用这个标题在 FOFA 中进行检索

我们可以看到，在这里显示了它的真实 IP，最后我们访问http://122.226.202.134 发现内容与 www.5173.com 是一样的，那么这就是真实 IP。

当然 FOFA 能做的远远不止这些，还可以进行漏洞预警、资产分布统计、找Burp Suite 代理、找目录遍历漏洞、找一些重要设备等等。

 

5、利用SSL证书寻找真实IP

证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。

SSL证书搜索引擎：

https://censys.io/ipv4?q=github.com

Censys 证书搜索（1）：

 

Censys 证书搜索（2）：

Censys将向你显示符合上述搜索条件的所有标准证书，以上这些证书是在扫描中找到的。

要逐个查看这些搜索结果，攻击者可以通过单击右侧的“Explore”，打开包含多个工具的下拉菜单。What's using this certificate? > IPv4 Hosts

此时，攻击者将看到一个使用特定证书的IPv4主机列表，而真实原始 IP就藏在其中。

你可以通过导航到端口443上的IP来验证，看它是否重定向到xyz123boot.com？或它是否直接在IP上显示网站？

6、国外主机解析域名

大部分 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的DNS查询，很可能获取到真实IP。

国外多PING测试工具：

https://asm.ca.com/zh_cn/ping.php

http://host-tracker.com/

http://www.webpagetest.org/

https://dnscheck.pingdom.com/

 

国外多ping网站测试：

 

7、扫描全网

通过Zmap、masscan等工具对整个互联网发起扫描，针对扫描结果进行关键字查找，获取网站真实IP。

1、ZMap号称是最快的互联网扫描工具，能够在45分钟扫遍全网。

https://github.com/zmap/zmap

 

2、Masscan号称是最快的互联网端口扫描器，最快可以在六分钟内扫遍互联网。

https://github.com/robertdavidgraham/masscan

 

8、配置不当导致绕过

在配置CDN的时候，需要指定域名、端口等信息，有时候小小的配置细节就容易导致CDN防护被绕过。

案例1：为了方便用户访问，我们常常将www.test.com 和 test.com 解析到同一个站点，而CDN只配置了www.test.com，通过访问test.com，就可以绕过 CDN 了。

案例2：站点同时支持http和https访问，CDN只配置 https协议，那么这时访问http就可以轻易绕过。