尋找隱藏在CloudFlare和Tor后的真實IP

在滲透測試時，我們經(jīng)常會遇到目標(biāo)處于CloudFlare或其他cdn服務(wù)之后，使我們無法發(fā)現(xiàn)原始服務(wù)器IP，難以使用某些滲透手段。但是，這類網(wǎng)站一旦出現(xiàn)設(shè)置不當(dāng)，就有可能暴露真實IP。而一旦我們獲得了真實IP，自然就可以對這些網(wǎng)站進(jìn)行暴力破解，DDoS攻擊等等。注意，隱藏Tor后的網(wǎng)站也有這種風(fēng)險。以下將介紹幾種發(fā)掘網(wǎng)站真實IP的方法，希望大家能針對性地使用。

1.SSL證書

1.1使用給定的域名

假設(shè)你有一個網(wǎng)站，域名為xyz123boot.com，服務(wù)器真實IP是136.23.63.44。CloudFlare為網(wǎng)站提供DDoS保護(hù)，Web防火墻和其他一些安全服務(wù)。你的Web服務(wù)器支持SSL并有證書，因此CloudFlare與你的服務(wù)器之間的通信就像你的網(wǎng)站用戶和CloudFlare之間的通信一樣加密（即SSL不夠靈活）。乍一看，好像沒什么問題。

但是，此時，真實IP的443端口（https://136.23.63.44:443）的證書會直接暴露在互聯(lián)網(wǎng)上。若對全球IP的443端口進(jìn)行掃描，就能在某個IP的443端口上獲取涉及xyz123boot.com的有效證書，而這個IP就可以說是服務(wù)器的真實IP。

很多網(wǎng)絡(luò)搜索引擎可以收錄證書信息。你唯一需要做的就是將網(wǎng)站域名的關(guān)鍵詞進(jìn)行搜索。

例如，對于Censys網(wǎng)絡(luò)搜索引擎，xyz123boot.com的證書的搜索語句如下：

parsed.names:xyz123boot.com

只顯示有效的證書：

tags.raw:trusted

在Censys上對這些搜索條件進(jìn)行布爾組合即可。

最后搜索語句：

parsed.names:xyz123boot.com and tags.raw:trusted

Censys將顯示符合上述標(biāo)準(zhǔn)的所有證書，這些證書是他們在全球掃描中找到的。

逐個單擊搜索結(jié)果，你可以在詳情頁面右側(cè)的“瀏覽”中發(fā)現(xiàn)多個工具，然后我們點(diǎn)擊What's using this certificate? > IPv4 Hosts

這時你可以看到使用這個證書的所有IPv4主機(jī)列表。其中某個就可能是真實IP。

最后，你可以直接導(dǎo)航到某個IP的443端口進(jìn)行驗證，看它是否重定向到xyz123boot.com？或者是否會直接顯示網(wǎng)站？

1.2通過給定的證書

你是聯(lián)邦調(diào)查局，想關(guān)閉一個在暗網(wǎng)中的cheesecp5vaogohv.onion域名的色情網(wǎng)站。那么你就必須要原始IP，這樣才能找到主機(jī)，找到運(yùn)營商，最后找到服務(wù)器所有者。

此時，利用網(wǎng)絡(luò)搜索引擎，我們可以查找使用相同SSL證書的IPv4主機(jī)，只需將其SHA1指紋（沒有冒號）粘貼到Censys IPv4主機(jī)搜索中即可。不是所有服務(wù)器的SSL都配置嚴(yán)謹(jǐn)。

2.DNS記錄

也許你的網(wǎng)站在使用CloudFlare之前曾短暫將真實IP暴露于公網(wǎng)。此時，如果Censys的DNS記錄有你的網(wǎng)站的A記錄，就會暴露你的網(wǎng)站的真實IP。

有一個專門用于查詢域名記錄的網(wǎng)站SecurityTrails。只需在搜索字段中輸入網(wǎng)站域名，然后按Enter鍵即可。你就能在“歷史數(shù)據(jù)”中找到驚喜。

除了以前的A記錄，即使是當(dāng)前的DNS記錄也可能泄漏真實IP。例如，MX記錄，即郵件交換記錄。如果郵件服務(wù)器和目標(biāo)網(wǎng)站在同一個服務(wù)器上，則真實IP可能存在于MX記錄中。

3.HTTP頭

通過網(wǎng)絡(luò)搜索引擎，你甚至可以通過比較HTTP頭來查找原始IP。

特別是當(dāng)目標(biāo)網(wǎng)站有一個非常獨(dú)特的服務(wù)器請求頭以及網(wǎng)站所使用的各種軟件及其版本時，都能大大減輕查詢的難度。

而且正如1.1節(jié)中所述，您可以在Censys上組合查詢參數(shù)進(jìn)行搜索。再配合一些其他信息，就能快速定位到網(wǎng)站。

假設(shè)你的服務(wù)器的請求頭組成大致和1500個其他Web服務(wù)器的請求頭相同，你的網(wǎng)站還使用一個新的PHP框架，這也是很獨(dú)特的HTTP標(biāo)頭（例如：X-Generated-Via：XYZ fr amework），目前約有400名網(wǎng)站使用該框架。就這樣不停比對，運(yùn)氣好的情況下，很快就能找到真實IP。

例如，Censys上涉及服務(wù)器請求頭的搜索參數(shù)是

80.http.get.headers.server:

查找使用了CloudFlare服務(wù)的網(wǎng)站的語句如下：

80.http.get.headers.server:cloudflare

4.應(yīng)用和服務(wù)

網(wǎng)站本身的很多功能可能并不完善，包括完整網(wǎng)站所使用的開源軟件包，自編寫的代碼等都有可能存在某些“輕微”的漏洞，例如，報錯信息不規(guī)范等。而這些信息就很有可能縮小我們的搜索范圍。

此外，即使是正常的網(wǎng)站服務(wù)，也有可能為我們所用。例如你需要在目標(biāo)網(wǎng)站上設(shè)置一個頭像，而且是通過提供圖片URL的方式（不是上傳圖片）。那么目標(biāo)網(wǎng)站可能主動從其他網(wǎng)站下載圖片，如果你控制著放置圖片的網(wǎng)站。那么目標(biāo)的真實IP就在日志中。

最重要的就是多多嘗試，網(wǎng)站管理員可能會犯很多錯誤。

5.內(nèi)容

在某些情況下，直接訪問目標(biāo)服務(wù)器IP也會返回網(wǎng)站內(nèi)容。那么，問題就簡單了，網(wǎng)絡(luò)搜索引擎能幫我們大忙。

在網(wǎng)站的源代碼中，很可能存在獨(dú)特的代碼片段，以及很多第三方服務(wù)的痕跡（例如Google Analytics，reCAPTCHA）。

例如，HackTheBox網(wǎng)站的Google Analytics Tracking代碼如下：

ga('create','UA-93577176-1','auto');

通過使用80.http.get.body:參數(shù)，我們就可以在Censys的數(shù)據(jù)中搜索出對應(yīng)的網(wǎng)站。

當(dāng)然，普通的搜索字段是有局限性。您可以在Censys上請求研究訪問權(quán)限，這樣就可以通過Google BigQuery進(jìn)行更強(qiáng)大的查詢。

而在另一款網(wǎng)絡(luò)搜索產(chǎn)品Shodan中，我們也可以根據(jù)http.html搜索參數(shù)進(jìn)行相同的查詢。

示例如下：

https://www.shodan.io/search?query=http.html%3AUA-32023260-1

后記

要找到隱藏在Tor或CloudFlare后面的原始IP需要一定的創(chuàng)造力。

在這里推薦x0rz所寫的Securing a Web Hidden Service，里面介紹了不少安全隱藏自己網(wǎng)站的方法，同時也說明一旦網(wǎng)站管理者出現(xiàn)疏忽，就會出大事。

當(dāng)然，目前CloudFlare也有很多措施來防御。例如，建立CloudFlare和服務(wù)器之間的單獨(dú)隧道。這意味著管理員不必在公網(wǎng)公開網(wǎng)站。還有使用白名單機(jī)制，禁止其他IP連接上網(wǎng)站。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點(diǎn)和立場

來源：https://nosec.org/home/detail/2405.html

原文：https://www.secjuice.com/finding-real-ips-of-origin-servers-behind-cloudflare-or-tor/