[TOC]

0x00 验证CDN站点

如何验证站点是否存在CDN最简单的办法如下:

方法一:
描述: 使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN,多地 Ping 网站有:


方法二:
描述:使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。
WeiyiGeek.CDN验证

注意事项:

  • dig工具可以从该域名的官方DNS服务器上查询到精确的权威解答,而nslookup只会得到DNS解析服务器保存在Cache中的非权威解答。
  • 对于一些采用了分布式服务器和CDN技术的大型网站,使用NSlookup 查询到的结果往往会和dig命令查询到的结果不同。


方法三:
描述: 一般做了CDN的网站会有CNAME域名解析记录,我们可以使用各种工具帮助检测目标网站是否使用了CDN可以参见如下网站

WeiyiGeek.DNSDataView


0x01 查询网站真实IP

1.先查一下分站的域名地址
有些cdn的服务实在是太昂贵,很多情况是主站使用了 CDN 而分站没有使用,这时候我们就可以通过子域名来get到真实的ip地址。


2.大部分CDN提供商只针对国内市场
而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP。其实这个方法根本不用上国外vpn,因为你上国外vpn的ping本质,就是使用国外dns(那台vpn服务器使用的dns)查询域名而已,所以只需要:nslookup xxx.com 国外dns,就行了,例如:nslookup xxx.com 8.8.8.8,提示:你要找冷门国外DNS才行,像谷歌的DNS,国内用的人越来越多了,很多CDN提供商都把谷歌DNS作为国内市场之一,所以,你查到的结果会和国内差不了多少 (核总的原话)


3.ping 命令这样写 ping xxx.com 而不是 ping www.xxx.com
ping xxx.com一般都会是真实IP,因为了解到现有很多CDN厂商基本只要求把 www.xxx.com cname到cdn主服务器上去。
www.xxx.com 和 xxx.com是两条独立的解析记录,一般只会把 www.xxx.com 做 CDN


4.看历史纪录
指的是查找域名历史解析记录,因为域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址。
有个专门的网站提供域名解析历史记录查询:

经过验证: https://x.threatbook.cn/ 才能查询DNS解析历史记录,而且太早期的也没有;
WeiyiGeek.DNC解析历史


5.phpinfo
剑心说过在进行渗透扫描的时候, phpinfo();之类的探针看你路径字典强度.很容易跑出来的.


6.有的服务器本地自带sendmail与mx记录查询
注册之后会主动发一封邮件给我们。通过邮件发送地址往往也能得到服务器IP,当然这个IP也要验证是否为主站的,可以通过常看网页源代码看到IP(也有可能采用的是腾讯或阿里云的企业服务器-那您就换一条路把)。
有的大型互联网网站会有自己的Mailserver,应该也是处在一个网段,那个网段打开80的一个一个试。
WeiyiGeek.邮箱地址



7.rss 订阅一般也会得到真实的IP地址


8: xss 漏洞(存储类型-还需等待生效时间)
同6:是让服务器主动连接我们的一种方式.


9.DDOS(基本上不现实)
DDOS耗尽CDN流量、那么就会回源,这样就能得到真实IP不设防的cdn 量大就会挂,高防cdn 要增大流量。


10.社会工程学
比如勾搭卖这CDN的客服妹子,他们可能有权限或者查看域名注册方的一些信息如电话啊、邮件地址啊、姓名啊,
有时候会有些人注册一堆域名可以尝试从这些突破


11.全网扫描
Zmap号称44分钟扫完-全网我们首先从 apnic 获取 IP 段,然后使用 Zmap 的 banner-grab 扫描出来 80 端口开放的主机进行 banner 抓取,最后在 http-req 中的 Host 写 xiaix.me』(其中xiaix.me是需要寻找真实IP的域名)。说到这个,我就想起了shodan,zoomeye。虽然他们都很强大地能够搜索到全球的IP banner信息,http的banner信息,但是却不能搜索网页代码。


13.根据HTML代码进行搜索
友推荐一个新的IOT搜索引擎,跟前面提到的两个相似,叫FOFA / 钟馗之眼,这个东西优点是支持HTML源代码检索;

WeiyiGeek.fofa.so


0x02 CND 安全

CDN存在中间人攻击的隐患吗?
比如Cloudflare连接用Cloudflare CDN的网站可以看到SSL证书是Cloudflare的证书,所以Cloudflare可以看到所有来往信息。万一Cloudflare CDN服务器安全出问题了,或者Cloudflare本身有一些监控手段,是否意味着存在中间人攻击的安全隐患?

虽然一般CDN提供商不会监控传输的一些敏感信息,但是信任并不代表CDN服务器不会出问题!

CDN安全隐患肯定存在,服务器的私钥都上传到了CDN服务器上,如果被攻击者获取到并利用私钥进行下面的操作;

  • 看到双向的加密流量、解密的明文流量。
  • 监控双向进出的流量、甚至修改、替换、删除、注入报文,通信的双方都可能无法检测到报文已经被恶意篡改的事实。

由于安全防护不足,CDN服务器沦陷了,同时沦陷的还有客户服务器证书的私钥,看看这个私钥能干掉啥有意义的事?

RSA密钥交换算法: 使用RSA公钥算法分发的将可以使用私钥来进行

  • 解密现在、将来的加密流量,还可以解密历史上的所有的加密流量;

DHE密钥交换算法: 证书的私钥只负责认证这一块,而DHE才负责双方密钥的分发。所以即使私钥泄露了,用私钥也无法从历史流量里还原出“Pre-master Key”。

因为攻陷了CDN服务器,所有RSA私钥、DHE私钥,解密解密流量就如同吃哈密瓜一样轻松容易