# CDN繞過： ## **CDN的優勢：** 1. 提高用戶訪問速率，優化用戶使用體驗。 2. 隱藏真實服務器的IP 3. 提供WAF功能 目前很多CDN也提供了WAF的功能，我們的訪問請求會先經過CDN節點的過濾，該過濾可對SQL注入、XSS、Webshell上傳、命令注入、惡意掃描等攻擊行為進行有效檢測和攔截。CDN節點將認為無害的數據提交給真實的主機服務器。 ### 判斷是否有cdn **要判斷該域名是否存在CDN的情況，可以去在線CDN查詢網站：** > 全球ping測試：https://wepcc.com > 多個地點ping服務器：http://ping.chinaz.com > 超級ping：http://ping.aizhan.com 如果是2個或者3個，并且這幾個地址是同一地區的不同運營商的話，則這幾個地址是服務器的出口地址，該服務器在內網中，通過不同運營商NAT映射供互聯網訪問，同時采用幾個不同的運營商可以負載均衡和熱備份。 **如果是多個ip地址，并且這些ip地址分布在不同地區的話，則基本上可以斷定就是采用了CDN了。** ### 如何驗證是否是真實IP **找到了真實IP之后，如何驗證其真實性呢？** 最簡單的驗證方法是直接嘗試用IP訪問，看看響應的頁面是不是和訪問域名返回的一樣 或者在目標段比較大的情況下，借助類似nmap的工具批掃描對應IP段中所有開了80、443、8080端口的 IP，然后逐個嘗試IP訪問，觀察響應結果是否為目標站點。 ## **??繞過CDN機制：** ### 方法一：歷史DNS記錄查詢： **1、查看 IP 與 域名綁定的歷史記錄，可能會存在使用 CDN 前的記錄，相關查詢網站有：** > DNS查詢 ：https://dnsdb.io/zh-cn > 微步在線：https://x.threatbook.cn > 在線域名信息查詢 ：http://toolbar.netcraft.com/site_report?url= > DNS、IP等查詢 ：http://viewdns.info/ > CDN查詢IP：https://tools.ipip.net/cdn.php **2、利用SecurityTrails平臺，攻擊者就可以精準的找到真實原始IP。 他們只需在搜索字段中輸入網站域名，然后按Enter鍵即可，這時“歷史數據”就可以在左側的菜單中找到。** > https://securitytrails.com/domain/oldboyedu.com/dns 除了過去的DNS記錄，即使是當前的記錄也可能泄漏原始服務器IP。 例如，MX記錄是一種常見的查找IP的方式。如果網站在與web相同的服務器和IP上托管自己的郵件服務器，那么原始服務器IP將在MX記錄中。 **3、觀看ip變化** > http://toolbar.netcraft.com/site_report?url=www.aabbc.com ### **方法二：查詢子域名** 1. 微步在線： https://x.threatbook.cn 2. Dnsdb查詢法： https://dnsdb.io/zh-cn/ 3. Google 搜索： Google site:baidu.com -www就能查看除www外的子域名 4. 各種子域名掃描器 5. 網絡空間引擎搜索法： 常見的有以前的鐘馗之眼，shodan，fofa搜索。 6. 利用SSL證書尋找真實原始IP 只顯示有效證書的查詢參數為：tags.raw：trusted https://censys.io/certificates?q=parsed.names%3Aaabbcc.com+and+tags.raw%3Atrusted Censys將向你顯示符合上述搜索條件的所有標準證書，以上這些證書是在掃描中找到的。 要逐個查看這些搜索結果，攻擊者可以通過單擊右側的“Explore”，打開包含多個工具的下拉菜單。What's using this certificate? > IPv4 Hosts 7. 使用國外主機解析域名 國內很多CDN廠商因為各種原因只做了國內的線路，而針對國外的線路可能幾乎沒有，此時我們使用國外的主機直接訪問可能就能獲取到真實IP。 8. 方法網站漏洞查找 1）目標敏感文件泄露，例如：phpinfo之類的探針、"info.php", "phpinfo.php", "test.php", "l.php"、GitHub信息泄露等。 2）查看漏洞掃描報警信息，手工造成頁面報錯 3）XSS盲打，命令執行反彈shell，SSRF等。 4）無論是用社工還是其他手段，拿到了目標網站管理員在CDN的賬號，從而在從CDN的配置中找到網站的真實IP。 9. 網站郵件訂閱查找 RSS郵件訂閱，很多網站都自帶 sendmail，會發郵件給我們，此時查看郵件源碼里面就會包含服務器的真實 IP 了。 10. F5 LTM解碼法 當服務器使用F5 LTM做負載均衡時，通過對set-cookie關鍵字的解碼真實ip也可被獲取，例如：Set-Cookie: BIGipServerpool\_8.29\_8030=487098378.24095.0000，先把第一小節的十進制數即487098378取出來，然后將其轉為十六進制數1d08880a，接著從后至前，以此取四位數出來，也就是0a.88.08.1d，最后依次把他們轉為十進制數10.136.8.29，也就是最后的真實ip 11. 通過信息報錯或訪問相關測試頁面（）