渗透测试-进阶

前言自己本身是一个学习两年网络安全的小白师傅，想想两年来都没有系统的学习过，所以就想着看看小迪的课程，顺便将自己的理解与小迪的课程做一个结合，以文字+图片的形式呈现给大家。看了小迪的课程，真觉得小迪的课程是yyds！-- 我看的是2024年的视频

学习内容【基础入门】第16天：CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件

学习地址：【小迪安全】全栈网络安全 | 渗透测试 | 高级红蓝对抗 V2024最新版 (完)_哔哩哔哩_bilibili

学习目录1.如何从创建CDN的角度绕过CDN

2.如何通过邮件绕过CDN

3.如何通过漏洞绕过CDN

4.如何通过全网扫描绕过CDN

正式开始知识点一：什么是CDN？CDN对我们的影响？CDN信息

#前置知识：

1.传统访问：用户访问域名->解析服务器IP>访问目标主机

2.普通CDN：用户访问域名->CDN节点->真实服务器IP->访问目标主机

3.带WAF的CDN：用户访问域名->CDN节点（WAF）->真实服务器IP->访问目标主机

国内服务商：阿里云、百度云、七牛云、又拍云、腾讯云、Ucloud、360、网宿科技、ChinaCache

国外服务商：CloudFlare、StackPath、Fastly、Akamai、CloudFront、Edgecast、CDNetworks、Google、Cloud、CDN

关于CDN是什么东西？可以前往该文章观看：Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护 - FreeBuf网络安全行业门户

CDN的影响有哪些呢？

以我们平时查询一个网站的域名为例：https://www.zjou.edu.cn/

我们会去在线网站通过该域名进行ip的查询

这是一个没有CDN的域名，它每次查出来的IP是一样的

这是一个有CDN的查询，同样的域名不同的IP。

那么我们如何快速的分辨一个网站有没有cdn呢？？？

可以使用站长之家的在线查询：多地ping-https://tool.chinaz.com/speedtest/https://www.taobao.com/

可以看到这种每个地方都有不同的IP的这种就是上了CDN。

而这种就是没有上CDN的

CDN对我们的影响有哪些？

1.无法找到真实ip

2.没有真实ip就不能进行端口扫描、木马连接、C段扫描等等~

了解了以后就可以下一步了~

知识点二：如何通过创建CDN的视角，寻找真实ip？想要了解这个，首先我们要看看CDN是如何创建的？

以阿里云为例：

可以看到CDN的添加，需要几个信息

1.加速的域名

2.加速的区域

3.加速资源

从这两个点我们可以收集到什么样的信息？

CDN加速的设置需要一个一个域名进行设置，那么有没有可能管理者会少设置一个子域名呢？

怎么理解？一个IP可以绑定多个域名，www.aaaa.com www.bbbb.com这两个域名。www.aaaa.com进行CDN。

www.bbbb.com没有设置CDN那么是不是通过查询b域名，从而得到a域名的IP地址~

（这里只是举个例子，如果要复现的话你们得自己找一个域名~）

这时候肯定有人问了。主播主播，我怎么知道a和b绑定的域名是同一个IP？

有的有的，有办法的

如果是Windows，那么可以去到该文件夹下

修改该文件

格式很简单：

ip + 域名即可

效果就是，当那你访问这个域名的时候，只会以这个IP进行访问呢

需要以管理员权限打开才能修改

然后将目录切换到文件夹下

cd C:\Windows\System32\drivers\etc

使用该命令打开文件

notepad C:\Windows\System32\drivers\etc\hosts

怎么证明呢？

可以ping一下~

没有修改前的结果

修改过后的结果

如果不能ping的话，也可以通过浏览器访问来证实是否修改了。记住要使用微软自带的浏览器否则无法生效

例如我这里改为了211，明显不太可能是该网站的ip地址，进行访问

那么网站将会无法加载

那么其实方法就是将同样的域名绑定一个IP进行访问，如果都能加载，说明两个域名绑定在同一个IP下

（若两个域名均解析到同一IP且能正常访问，​可能说明它们绑定到同一IP，但需排除虚拟主机、反向代理等干扰因素。）

这就是方法的局限性了~

那么其他的方法也很简单

1.它的选择如果只是某个国家加速，那么你使用国外的服务器，通过全局挂代理，是不是就不会被CDN加速，是不是就能访问出它的真实IP~

2.它如果只是选择了某个资源加速，例如下载视频加速，下载图片加速，下载软件加速。那么你是不是可以通过它没有加速的资源获得它的真实IP~

知识点三：通过漏洞发现真实IP例如一个SSRF的漏洞，你利用它主动的去访问你的服务器~

这里就会有真实的IP。

如何理解？这是一个主动和被动的关系。你主动去访问别人的服务器，那么别人的服务器做了CDN，你就得走别人的CDN从而捕获不到真实的IP。

但如果你的服务器被动的别人访问了，这样别人的IP就是真实的IP~

而只要有远程资源加载的网站，都可以使用这样的方式，让网站加载你服务器的IP地址从而看到别人的真实IP。

第二种漏洞就是配置文件泄露，例如phpinfo文件

这里就会显示IP地址，现在这个地址是内网地址。但如果服务器没有内网的话，那么显示的就是外网地址。

当然还有一些配置文件会专门的显示外网的IP地址，这也是寻找真实IP服务的一个地方。这就需要你们自己去找了，因为我懒！

知识点四：邮件系统绕过CDN邮件系统绕过CDN

#某应用-CDN绕过-邮件系统-让他主动给你发：部署架设的邮件服务器如果向外部用户发送邮件的话，那么邮件头部的源码中会包含此邮件服务器的真实IP地址。常见的邮件触发点有：

1、RSS订阅

2、邮箱注册、激活处

3、邮箱找回密码处

4、产品更新的邮件推送

5、某业务执行后发送的邮件通知

6、员工邮箱、邮件管理平台等入口处的忘记密码-你给未知邮箱发：（需要自己的邮件服务器不能第三方）通过发送邮件给一个不存在的邮箱地址，因为该用户邮箱不存在，所以发送将失败，并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。

这个案例是2023年的了~

然后查看这个邮件的原文

使用这个方法有一个前提条件，那么就是邮箱服务器必须是网站方面自己搭建的，而不是用的第三方，例如QQ、网易发送。

否则你看的就是QQ、网易的发送。

这里以FOFA为例：

你可以看发送邮件的域名和网站的域名是否一致来判断。

方式二：你主动给邮件服务器发邮件。

条件：你需要一个自己的邮件服务器~

原理：如果邮件服务器没有找到你发送邮件的对象，会带着IP地址来告诉你，你发送的邮件没有送达。

为什么要用自己的邮件服务器呢？

因为如果你用QQ的邮件服务器，那么流程就是目标邮件服务器--> 错误信息给到QQ邮件服务器-->再传给你

当然也有可能是对方服务器做了一些策略，导致像这样的意外情况发生，即使发送给一个不存在的用户，也可以成功的投递~

抛开这种情况不谈，这才是正常的情况

这里就有IP，只要当我们有一台自己的邮件服务器就可以实现本姿势。

知识点五：通过空间引擎进行CDN绕过&使用工具进行全网扫描CDN绕过在线查询网站：CDN查询

这里输入一个域名就可以查到它的真实ip

百分百成功吗？当然不可能啊，哈哈，就是一个可以印证的网站~

FOFA

FOFA的是针对国外的CDN，对于国内的CDN效果其实并不好，而且一次三块人民币老贵了~

补充一个知识，查询CDN的厂商，也就是提供CDN的服务是谁。当然也可能查询不到~

还有一些没有提到的~

#参考知识：

超级Ping：http://www.17ce.com/

超级Ping:https://ping.chinaz.com/

接口查询：https://get-site-ip.com/

接口查询：https://fofa.info/extensions/sourceI

国外请求：https://tools.ipip.net/cdn.php

国外请求：https://boce.aliyun.com/detect/

IP社区库：https://www.cz88.net/geo-public

全网扫描：https://github.com/Tai7sy/fuckcdn

全网扫描：https://github.com/boy-hack/w8fuckcdn

全网扫描：https://github.com/Pluto-123/Bypass_cdn

全网扫描项目：https://cz88.net/iplab

这里我们用社区版，什么为什么不用付费，没钱宝宝~

但我在复现的时候，发现这个产品已经下架了，需要自己去网络上找遗留的资源~

原理很简单，通过大规模的记录ip，然后对这些IP进行匹配

可以看到这里有大量阿里云的IP。其实不止是有这些IP，还有其他的云IP，以及不是云的IP

接下来我们进行一个设置

有人会问，什么是特征？我不知道特征是什么呀？

这就提示词就是特征，但不建议以这个提示词为特征，因为这样的特征太多了，我们的结果也会出来很多

但这里是以我们自己的服务器为演示对象，我们确定了IP段，扫描的IP数量少所以可以这么做。

在这个文件中设置好要扫描的IP段：

工具原理：

先从IP段去扫描符合开放端口，再从IP去访问看看关键字，将符合结果进行保存！

再通过手工将这些结果进行排查。是不是就能访问到我们想要的域名了~这样就是CDN绕过的一种方式~

大总结绕过CDN是通过各种的思路，将这些思路组合起来，进行信息收集，才可能发掘这个网站的真实IP。比如你用各个工具，显示的真实IP的结果都不一样，那么你就要通过公司名称、公司的地点、以及公司的业务，去想想，哪个IP才有可能是真正的真实IP。

经过本次学习，其实可以总结的出来想要绕过CDN的条件有：

1.只对某些域名做了CDN，子域名没有做

2.只对某些资源做了CDN，没有全做

3.只对某个地区做了CDN，其他地区没做

4.服务器本身有漏洞，可以主动的访问攻击者服务器

5.网站有邮件服务器，通过邮件服务器发送

6.网站有邮件服务器，且自己有服务器，可以通过错误信息

7.利用工具进行全网扫描，枚举IP

最后祝大家天天开心，快快乐乐~

免责声明本文所包含的内容仅用于教育和研究目的，旨在提高信息安全意识，帮助用户了解网络安全防护的重要性。

文章中提及的任何渗透测试技巧、工具或方法，仅供合法授权的安全研究和测试使用。在进行任何渗透测试或安全测试之前，请确保您已获得相关系统或网络所有者的明确授权。

本文作者不对任何因使用文章内容而导致的非法活动、损害或其他不良后果承担任何责任。读者在实施任何技术之前应确保遵守所有适用的法律法规。

本文内容不支持或鼓励任何形式的恶意攻击、未授权的入侵或网络犯罪。

本文内容仅限于教育用途，不得以任何方式用于未经授权的网络安全攻击或破坏行为。